#author("2017-12-10T14:23:43+09:00","","")
#freeze
#author("2019-09-06T06:45:58+09:00","","")
[[RightBar]]~

*スパム対策業務日誌 [#b0b1255a]
#contents
* 2016 [#y42d60b9]
** 2016-12-3 [#q117923c]
*** スパム対策・アクセス追跡のためのタグ埋め込み [#fb25eec5]
-お気づきとは思うが、本サイトもたまにへんな広告が張られてしまったりする
-対策としては
++サーバ借りてるさくらインターネット様のツールで頑張る
++pukiwiki用の対策ツール入れる
++とりあえずトラッキングしてから考える
---などがあるが、とりあえず三番目をやることにした

-やること
--Googleアナリティクスの導入
+++[https://www.google.com/intl/ja_jp/analytics/ ''【公式ページ】'']行って登録して追跡タグ取得
+++pukiwiki.skin.phpのheadタグの閉じカッコ直前に入れる
--Googleサーチコンソールの連動
+++[https://www.google.com/webmasters/#?modal_active=none ''【公式ページ】'']行って登録して連動させる

本当はちゃんとアクセスログ読まなきゃいけないんだけど面倒くさいのである。あまり負荷が高い場合は切り戻す予定である
* 2017 [#qeb4132d]
** 2017-1-5 [#k901c039]
*** スパム対策・トップページの凍結と編集用別ページの設置 [#o450e84e]
-トップページが丸ごと消されるクソスパム多発
--こんなの面倒臭いにきまってるやん・・・
-で、トップページを編集凍結し、includeプラグインで別ページを表示する方式にする
--トップ全体の別ページ化も考えたが、実験も込めて一部の別ページ化にとどめる
--これは、index.php(FrontPage)を狙ったスパムであることを想定しての物であるため、状況によっては別の対策を必要とする


** 2017-1-7 [#med8b954]
*** スパム対策・トップページの凍結と編集用別ページの設置 その2 [#xf0cf562]
-トップページ全体の別ページ化実施
--実施直後に、トップでコメントを書き込み更新すると別ページに飛ぶことがわかったため、更新がほぼないであろうFAQまでとラウンジ部分をFrontPage直書きに手直し

** 2017-1-11 [#ce69275d]
*** スパム対策・フィルターテスト進捗状況 [#o34b6aef]
- どうも投稿フォーム系が狙われているらしい。対策がプラグイン側の改修とか差し替えになるため、とても面倒くさい
-- 最強と名高いspam_filter.phpを試そうとしたが、pukiwiki1.4.7仕様のため、一部ライブラリの関数が変わっている1.5.1にベタで入れると死ぬことが判明(ページ編集機能が使えなくなる)
-- 正規表現による書き込み制限だけ使いたいが、その場合自分でフィルターの中身読むしかない
- 自分で修正する場合に修正する場所
++ plugin.php
--- フィルタ呼び出しを自分で書く
++ spam_filter.php
--- 一部スパム対策外部サイトが使えなくなっているため機能潰す
++ その他必要なライブラリ
--- 多いんだよ!!

暫定結論:そのうちやる(やるとは言っていない)
- 追記:あまりにスパムがウザいので、正規表現機能フィルターだけ見込み導入
-- 上記plugin.phpとspamfillter.phpのみパパッと書いたのでテストできてない
- テストしてみたが''効かない''
-- どうしろってんだよ、ええ!?

** 2017-1-12 [#r1e639b9]
***現在導入したスパムフィルタの設定について [#y1eedf6b]
- 昨日暫定版スパムフィルタを導入したが、メモを残さないとあとで困るのでここに記す
- 導入したもの[http://www.miasa.info/index.php?%C8%FE%CB%E3Wiki%A4%C7%A5%B7%A5%B9%A5%C6%A5%E0%C5%AA%A4%CB%BD%A4%C0%B5%A4%B7%A4%C6%A4%A4%A4%EB%C5%C0#ofa18e88 【こちら】]のpukiwiki1.4.7用スパムフィルタ
-- が、当サイトはpukiwiki1.5.1環境なので、そのままでは導入できないことはさんざん愚痴った
- そこでフィルタの中身とファイルセットの中身を読み(基本的にphpで書かれている)、適宜修正を加える。
++ plugin.php
--- do_plugin_action関数内にspam_fillter関数を呼び出すコードを追加
--- 1.4.7と1.5.1では微妙にplugin.phpの内容が違うため、該当部のみの移植が必要
++ delegated-apnic-latest
--- IPから国コードを引くための辞書。wwwディレクトリ直下にコピー
--- これを書きながら気づいたが、フィルタ添付のこのファイルが古くて国コードを引けてないのでは?
--- あとで最新版を探してきて導入する
++ spam_filter.php
--- フィルタ本体兼フィルタ設定ファイル
--- 今回は外部サイトを引っ張るタイプのフィルタは使用せず、url監視と国コードチェックを採用
--- CN|KR|UA|RU|ID|TH|BR|US|AE|HK|TW|AU|ITを禁止。
--- 中国、韓国、ウクライナ、ロシア、インドネシア、タイ、ブラジル、アメリカ、アラブ首長国連邦、香港、台湾、オーストラリア、イタリアである。

今後余暇を見つけてフィルタの精査、本採用または不採用による切り戻しなどを実施する

*** 現在導入したスパムフィルタの設定について その2[#y1eedf6b]
- 11:00ごろふと覗きに来たら熱心に書き込んでいるスパム氏を発見
- アクセスログからロシア連邦のIPを確認。なんで国コード拾えないんだこいつ・・・
- 念のためページ編集者のIPが表示されるようにfile.phpとpukiwiki.skin.phpを改修
-- 参考サイトは[http://jehupc.exblog.jp/17851658/ 【こちら】]
- やっぱりロシアですね・・・
-- 188.143.232.0~255の編集行為を全部拒否する設定に変更

** 2017-1-13 [#ae3a2114]
*** .htaccessによるスパム排除 [#p394f379]
- 昨日スパム投稿元と思われるIPに対し編集禁止フィルターを掛けた
-- が、冷静に考えたらそもそもアクセス自体禁止した方が早いのではないだろうか
- .htaccessを編集して以下の設定とする
 Order allow,deny
 allow from all
 deny from 188.143.232.
-- 不具合がある方は連絡してください。出来ないか。出来ないな
- アクセス禁止後にログ見たら一時間に130回ぐらいアクセスしようとしてきてる(白目)

** 2017-1-24 [#bc2641ca]
*** .htaccessによるスパム排除 その2 [#f40e463f]
- 帰宅途中にスマホでここ見たらスパム再発との由。10日しか経ってねえぞ!
-- 帰宅後にエラーログを確認したところ、先のアクセス制限後にずっと扉ノックしてた奴が消えている。野郎、気付きやがった・・・
- スパムページが残っていたので最終編集者を確認、.htaccessを編集して以下の設定を追加
 deny from 5.188.211.
- ロシアでした
*** .htaccessによるスパム排除 その3 [#d6dbe96c]
- 定期的にIP変えて攻撃されてもつらいのでロシアに認可されているIPを全部拒否するよう設定

** 2017-4-12 [#f463d153]
*** access.logからのスパムIP同定 [#aa181fe5]
- 夜中にふとサイト見ていたらスパムコメントがいたため、念のためIP確認
-- 繰り返しになるが、ログから同定するのがとても面倒くさいので多発する際はコメント欄をIP表示モードにする予定である
- とりあえずサーバから30MBあるここ一日のアクセスログを取得
-- WinSCPとか使えばらくちんですね
- エディタで開いて該当時間帯のPOST見て雑にチェック
-- 5.79.80.162って怪しくねえ?
-- オランダでした
- しばらく様子見てダメなら深淵送りにします

** 2017-4-15 [#pb537c10]
*** access.logからのスパムIP同定 その2 [#u7593b4f]
- 先日の単発スパムが 2017-04-14 (金) 02:13:45 にも出たので調査
-- 5.79.80.162、オランダ
- ……
-- 深淵送りにしました

** 2017-6-23 [#l69ff640]
***  access.logからのスパムIP同定 その3 [#c7109cd7]
- 単発スパムが数回出たということでユーザの方から情報いただく
-- 以前からお願いしていた通りトップページに書いてもらった。ありがとナス!
- 一件目、発生は2017-06-17 (土) 14:50:22
-- 95.211.192.231 オランダ
- 二件目、発生は2017-06-22 (木) 13:45:53
-- 178.162.210.6 ドイツ
- 試しにIPでグーグル検索すると掲示板にスパム張ってるのとかすぐ見つけられますねこれ
-- 深淵送りにしました

** 2017/12/10 [#rf1dfb59]
*** access.logからのスパム確認 文字化け文編 [#kda36818]
- 先日私が出張る羽目になったの11/21投稿の文字化け文の話である
-- エンコード直したらtwitterだったら速攻で凍結されるような文言のオンパレードだったため荒らしと判断
- access.log読むの面倒くさかったので放置していたがいやいや確認
-- 国内プロバイダですねこれ
-- Nで始まる会社(滅茶苦茶多い)のWで始まるブロードバンドサービスですわ
- [[【公式発表】>公式発表#vdf25d09]]のとおり、今のところ多発していないようなので様子見とします。
-- 文言から脅迫事件としてポリス沙汰にすることも可能なので、繰り返すようなら処置します。
- また、証拠隠滅対策として[[【2017-11-19(日)~2017-11-25(土)】>各種コメントログ/ラウンジログ2017-11-19(日)~2017-11-25(土)]]を凍結して投稿した文章を消せないようにしました。普段からコメントログを管理しているユーザ有志に感謝を

** 2018/7/19 [#e386394d]
*** 定期的な暴力表現について [#s4b65650]
 地震で死んだ爺さんと女の子の代わりにお前らが死ねばよかったのに。 -- 2018-06-19 (火) 10:14:42
 大阪の地震で死んだ女の子より、お前らクズ共が死ねばよかった -- 2018-06-30 (土) 12:19:21
 地震で死んだ女児の代わりにお前らクズどもが死ねばよかった -- 2018-07-04 (水) 09:10:35
 豪雨で死ぬのがRWやここのクズだったらよかったのに -- 2018-07-11 (水) 09:31:19
- すべて同一IPからの書き込み、NTT-ME大阪なのでおそらくXePhionかWAKWAKを利用している
-- ってか、XePhion側(企業向け)っぽいんだけど。
- (2018/7/23追記)ちゃんと調べましたが、NTT-MEのネットワークなのは確実だと思うんですが、地域・サービスについては不明瞭ですね。まぁ問い合わせるか。
-- IPと書き込み時間が把握できておりログも保存しているのでMEに問い合わせ可能。
- 証拠隠滅対策として該当コメントのログページを凍結実施

** 2018/7/23 [#ddf5cb5f]
*** 定期的な暴力表現について その2 [#s6744d0b]
 ACwikiやRWやここのクズどもが熱中症で死ねばいいのに -- 2018-07-18 (水) 17:37:39
 ここや、RWのクズどもが熱中症で死ねばいいのに -- 2018-07-23 (月) 15:08:48
- うち、さくらのレンタルスペースだからアクセスログ取得時間かかるんすわ
-- とりあえず前者は既存暴言と同じ方
- whois結果からプロバイダに問い合わせメール投げました
-- 特に法的手続きを取っていないのでプロバイダ対応に温度差があると思いますので、以後は担当者折り返し待ちとします。
-- プロバイダ側対応が難しい場合はIP周知の上でブロックします。巻き添えの可能性もあるため方法については現在検討中です。
- プロバイダが動いてくださる場合は、固定IPのようなのでご家庭かお勤め先に連絡がいくと思います。
-- 私も技術的には素人なので、問題が継続する場合は脅迫案件として警察に相談します。だって死ねとか言われたら怖いし

** 2018/7/30 [#y702e5a6]
*** 定期的な暴力表現について その3 [#m4d9965c]
- プロバイダから該当者へメール通知したとの連絡を受領
-- さすがに同じ接続元からトラブルを繰り返すほど愚かではないと信じたい
- 別の接続元(IP)から同様の事をしても基本は同じ対応をしますので、あまりやるとブラックリスト入りすると思います。
-- スマホから書き込んでくれるとキャリアに連絡して一発個人特定でブラックリスト入りなので楽なのだが

** 2018/8/2 [#p788e6cb]
*** access.logからのスパムIP同定 その5 [#o499b5e2]
 スパム報告  2018-08-01T19:28:50+09:00
 スパムページ作成型(該当ページ削除済み)
- ページ作成型スパムについてユーザの方から情報いただく
-- いつも報告ありがとうございます。さて……
- 216.162.45.209、アメリカ合衆国
-- deny from 216.162.40.0/21 でネットワークごとアクセス禁止にしますね

** 2018/8/5 [#y66ad923]
*** access.logからのスパムIP同定 その6 [#c5a689cb]
 スパム報告  2018-08-04T21:07:18+09:00
 スパムページ作成型(該当ページ削除済み)
- ページ作成型スパムについてユーザの方から情報いただく
-- いつも報告ありがとうございます。続きますねぇ
- 23.108.252.248、アメリカ合衆国
- アクセス禁止にしますね。というかスパム対応するとスパム増えるのって不思議ですね?

** 2018/8/15 [#r724df22]
*** access.logからのスパムIP同定 [#zbf3fa56]
- 年がら年中やってるんで何回目とか数えるのやめました
 スパム報告
 2018-08-12T17:04:45+09:00 スパムページ作成型
 2018-08-09T15:26:45+09:00 スパムページ作成型
- ページ作成型スパムについてユーザの方から情報いただく
-- いつも報告ありがとうございます。で
- 23.108.252.227
-- お前似たやつ見たことあっぞ
-- 23.108.252. でアクセス禁止にします
- 198.144.187.76
-- ご新規さん。
-- 198.144.176.0/20でアクセス禁止にします

** 2018/10/5 [#p18147a4]
*** access.logからのスパムIP同定 [#t0143d00]
 スパム報告
 2018-10-04T16:59:34+09:00 スパムページ作成型 ページ削除済み
- 154.16.210.29
-- ジャイアントさらば

** 2018/10/24 [#ifbb2903]
*** access.logからのスパムIP同定 [#z0132ccc]
 スパム報告
 2018-10-23T12:10:54+09:00 スパムページ作成型 ページ削除済み
 2018-10-21T14:38:17+09:00 スパムページ作成型 ページ削除済み
- いつも対応ありがとうございます。で
-104.223.23.206
-23.81.231.104
-- 対応

** 2018/10/27 [#j6c424e6]
*** access.logからのスパムIP同定 [#k29b1320]
 スパム報告
 2018-10-24T23:47:56+09:00 スパムページ作成型 ページ削除済み
- いつも対応ありがとうございます。
- 31.207.6.173
-- 対応
- どうもBOT感染してる子たちがワチャワチャスパム飛ばしてきているくさい
- 本当は海外IP全部排除すりゃいいんだけどpukiwikiのフィルターが上手く動かん
-- バージョンズレとか色々ある上に管理人がすり合わせる元気がない
- ので現方針でしばらく頑張るかなって

** 2018/10/31 [#m789e678]
*** access.logからのスパムIP同定 [#pa0980d6]
 2018-10-30T08:20:39+09:00 スパムページ作成型 ページ削除済み
- いつも対応ありがとうございます。
- 181.177.116.183
-- whois見たらベリーズとか出てくるんだけどどこ……?(無知)
- ブロックしました

** 2019/6/28 [#f411fa2a]
*** access.logからのスパムIP同定 [#h03a5de2]
 7/Jun/2019:23:43:50 +0900 Illustrationsへのコメント投稿型
- なんかドメイン名で来やがったぞこいつ
- azteca-comunicaciones.com
- 調べても実在か騙りかなりすましかわかんねぇ~
- 面倒くさいのでネットワークごとブロック。国内ユーザには影響ないやろ

** 2019/9/6 [#p1b2218a]
*** access.logからのスパムIP同定 [#h8ec31f9]
 05/Sep/2019:13:19:51 +0900 Illustrationsへのコメント投稿型
- 親切なユーザが消してくれていた
-- それは滅茶苦茶ありがたいのだが管理人がぜんぜん気付かなかった
- 103.28.121.58
- whoisしたらバングラディッシュとかでますね……
- ネットワークごとブロック