WikiSpam - isnot.jp/wiki

当サイトであったWiki spam被害のなかに、特に目立つ特徴をもつものがあったので記録します。

今までに対策したこと

RSSなど使って随時監視しつつ、やられたページはバックアップから手作業で復旧しています。また、攻撃がされる度に.htaccessにdenyするIPを手作業で追加しています。緊急時には「edit.cgi」のパーミッションを一時的に落とすことによって対応しました。

今日もきた。[http://www.8cx.net/ XXX] - いしだなおと (2005-01-07 19:57:02)
昨日も来た。phpBBのBBCodeという記法を使っている。例：[url=http://example.com/]hoehohe[/url] - いしだなおと (2005-01-12 00:59:42)
今日もBBCodeで、1ページやられた。 - いしだなおと (2005-01-13 23:42:39)
BBCodeきた - いしだなおと (2005-01-14 10:27:31)
BBCodeきた - いしだなおと (2005-01-14 19:38:09)
きた。DraGon。SsSsタイプ - いしだなおと (2005-01-19 21:56:53)
DraGonきた - いしだなおと (2005-02-04 16:04:41)
BBCodeでやられた - いしだなおと (2005-02-24 23:58:05)
ちょっと予言めいたことを。数日のうちに、国内のホストからのspamがやってくる可能性があります。根拠は、2/16にあったあるアクセスログの記録からです。イカレUAを駆使した輩が出現していました。たいしたことないんですけど。 - いしだなおと (2005-02-25 16:16:36)
DraGonきた - いしだなおと (2005-03-01 20:53:52)
昨日、BBCodeで。 - いしだなおと (2005-03-09 00:43:32)
www.yourhealthypharmacy.com。Wiki記法によるspamだ。 - いしだなおと (2005-03-10 17:40:49)
このサイトではないが、某Wikiでは「linktrim」という文字列を伴う、新規ページを作るspamがしつこい - いしだなおと (2005-03-15 02:45:44)
BBCodeきた - いしだなおと (2005-03-22 14:07:23)
www.yourhealthypharmacy.com。URL羅列のみ - いしだなおと (2005-03-28 19:53:39)
BBCodeきた - いしだなおと (2005-04-06 19:06:31)
BBCodeきた - いしだなおと (2005-04-07 13:22:02)
[url text] みたいな感じで1ページやられた - いしだなおと (2005-04-17 18:17:10)
このページが差し替えられてた - いしだなおと (2005-04-23 11:01:07)
きました。状況は下記に - いしだなおと (2005-09-27 18:01:14)
前回と同じ。wikitikitaviで11ページ - いしだなおと (2005-10-22 19:22:51)
4分の間に8件のTrackback spamがきた。英語。メールのような謎ヘッダーが付いていた。 - いしだなおと (2005-10-29 09:03:07)
wikitikitaviで11ページ。いつも復旧？された後の状態で気付く。 - いしだなおと (2005-11-05 12:21:28)
例の「メールのような」Trackback spamが1ページ×3件。実は先日はコメントspamっぽいのも来てた。 - いしだなおと (2005-11-20 23:14:37)
例の「メールのような」Trackback spamが1ページ×5件 - いしだなおと (2005-12-06 08:02:47)
例の「メールのような」Trackback spamが1ページ×11件 - いしだなおと (2005-12-19 16:51:26)
- 上記はbotnet経由くさい。国内のIPからも来ている。UAが空なのが特徴的だった。 - いしだなおと (2005-12-21 01:08:05)
昨日を中心に、このページに対して度重なるspammingがあった。手法はありふれている単純な書き換え、リンク誘導程度。 - いしだなおと (2006-01-22 08:01:59)
例の「メールのような」Trackback spamが1ページ×5件 - いしだなおと (2006-02-10 08:38:35)
BBcodeやHTMLタグを含む書き換えが1ページ - いしだなおと (2006-02-14 10:13:49)

今回の状況（2005/09）

ひさしぶりに複数ページをやられたと思ったら、おもしろいspammingを観測しました。なお、ページ数は10で、やられた次点でサイドバーに表示していた「最近の更新」リストのページに一致するようでした。その後、復帰を試みる操作があったようですが、これはこびとさんがやってくれたのかな……あとで確認してみます。（追記。それらしきログがあった。）

divを生で書いている
複数の「リンク記法」を使っているので、どれかが意図通りにリンクになる、と思っているように伺える。
- もちろんURLのみかけばそれがリンクになるわけだが、文字列アンカーリンクにすることで見つかりにくくする効果を狙っている？にしても中途半端なやり方だと思うなぁ。

 <div id="wikitikitavi" style="overflow:auto; height: 1px; ">
 [[http://WTHP1.coolhost.biz] [WTHPD1]]
 [http://WTHP2.coolhost.biz  WTHPD2]
 [WTHPD3](http://WTHP3.coolhost.biz)
 [http://WTHP4.coolhost.biz | WTHPD4]
 [WTHPD5 | http://WTHP5.coolhost.biz]
 [[http://WTHP6.coolhost.biz WTHPD6]]
 </div>

ログを解析してみたら、いくつか特異なことが見えてきた。対象者の最初のアクセスのログは以下。

 ppp-70-250-215-134.dsl.spfdmo.swbell.net - - [27/Sep/2005:09:46:56 +0900] "GET http://isnot.jp/?p=WikiSpam HTTP/1.1" 200 21223 "isnot.jp" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

ご覧のように、

 GET http://isnot.jp/?p=WikiSpam HTTP/1.1

というようなリクエストの仕方をしている。本来なら「http://isnot.jp」の部分は不要。普通はHostヘッダーにisnot.jpとセットする。

この時点で（粗悪な）ボットを利用したものであると推察できる。一般によく使われているブラウザはこんな変なリクエストを送ってこない。そして一番特徴的なのが、126ものリモートホストをとっかえひっかえしていて、同じものは最大で6回しか使っていなかった。ほとんどのリモホは使い捨て。ドメインが重複していたりするが。これは……リモホ偽称しているか、ボットネット的な分散攻撃手法か。興味深いところではある。