spam

先日のブログでたくさんのアクセスがあり、500を返していたことが判明。
しかも、嬉しいことにトラックバック（TB）してくださっていたにも関わらず500エラー。

wordpressはphpで構成されているので、cgiエラーはないんです。
（カスタマイズしていれば別ですが。。。）

で、SPAMで弾くか？と考えたら、普通は403 Forbidden を返すはず。

しかし、今回は500。。。

サーバーに負荷掛かりすぎ？まさかぁ。と思いつつ、他の原因を探してみた。

SPAM対策のプラグインを1つずつ取り除いて、確認したところ、wp-spamが原因だった。

けれど、500だから、本当にわかんない。

これも気になる。
PHP5.2.4ではPHPエラーでHTTP 500を返す Shin x blog

何それ？っていうお話です。

素直にMTに移行しろということでしょうか？ｗ

スパム対策にWP-SpamFreeプラグインを導入 – 130単位

仕組み

ざっとコードを眺めてみたりローカル環境でテストしてみたりして、わかったところだけメモ。

15バイト以下*1のコメント内容でスパム判定
4つ以上のURLを含むとスパム判定
プラグイン独自のブラックリストに一致するとスパム判定
JavaScriptとCookieのどちらかがOFFだとスパム判定(※未検証)
スパム判定されると、累積スパム数をカウントしてwp_die()でエラー表示

4つ以上っていうキーワード探してみたが、見当たりませんでした。。。
リンク集からのTBは全部弾くってことになっちゃうのか。

これはちょっと考えものだ。

From xxxYukihiroxxx

UJP – Toata dragostea mea pentru diavola

稼働から10日経過したスキルチャージプログラムのサーバですが，新たに訪問者がありました．
今度はフランスのコンピュータからで，”Toata dragostea mea pentru diavola”という文言を残しながら以下の様なパスへのアクセスを行ってきます．

/roundcubemail-0.1/bin/msgimport
/roundcubemail/bin/msgimport

“Toata dragostea mea pentru diavola”はルーマニア語で「悪魔のすべての私の愛」という意味だそうです．
これは，RoundCubeというWebメーラで2007年後半に発表された脆弱性を狙ったアクセスのようです．

JVN#33820033「RoundCube Webmail」におけるクロスサイト・リクエスト・フォージェリの脆弱性

この脆弱性に対して攻撃を受けると，件名等の一部の情報が漏洩してしまう様です．
RoundCubeというのは，AjaxとPHPで作られているIMAP4専用(POP3非対応)で，日本語の送受信に問題が無いので，知らなかったけど人気ありそうです．

Dragosteaを調べると，Dragostea Din Teiに行き着きます．　これは日本でも「恋のマイアヒ」として一世風靡した曲ですね．　この曲はルーマニア産だったそうで．

User_Guide_JA – RoundCube Webmail
http://trac.roundcube.net/wiki/User_Guide_JA

RoundCube Webmail (以下、RCとよぶ)は、アプリケーションと同様のユーザインターフェースを持つ、標準準拠で複数言語対応のIMAPメーラです。 通常、メーラを使うときと同様の全ての機能を提供します。たとえば、MIMEによる日本語や添付ファイルのサポート、アドレス帳、フォルダーの管理、メールの検索やスペルチェックなどです。 RoundCube Webmail は、PHP言語でかかれており、MySQLデータベースを必要とします。ユーザインターフェースは、XHTMLとCSS2を採用しているため、完全にスキンで好みに書き換え可能です。

Roundcube は、電子メールシステムへのWebによるインターフェースです。これは、通常、最新のメーラに期待するような、アドレス帳やフォルダによる整理といった全ての機能を提供します。 RoundCube はさらに、高度にカスタマイズ可能です。システム管理者は、ユーザや会社のあわせて、スキンを作成し導入できます。

自宅サーバーをやっているので、Webメールにしようかと考えたことがありましたが、アタックも頻繁にありそうだと判断して却下しました。
まぁ絶対に必要なメールには、プロバイダー経由のメールがほとんどなので、セキュリティも考え運営しております。

見てみると、2006年にリリースされていてその後、アップデートもしていないみたいです。

自分の場合は
/roundcubemail-0.1/bin/msgimport
/roundcubemail/bin/msgimport
/roundcubemail-0.2/bin/msgimport
/roundcube-0.1/bin/msgimport
/webmail/bin/msgimport
/mail/bin/msgimport
/bin/msgimport
/roundcube/bin/msgimport
/rc/bin/msgimport

5秒間の間に、10個のGET処理（アクセス）がありました。
IPアドレス割当国： ラトビア ( lv )

From xxxYukihiroxxx

先日からいっぱいコメント残してくれる人が居るんですが、スパムのラッシュがやっとこさきましたね。
まぁこればっかりはBlogを公開している以上、しょうがないので、IPで規制してもいいのですが
スパムを送ってくる人はpoxyを変えてくるので、いっちもさっちも行かない状況なんですよね。。。

いい対策があればいいのですが、今のところ、調べていないので、出すすべなし状態です。

MTの方にも着てるし。。。

そういえばWPは設定するところあったっけな？コメント残せる為には名前とメールアドレスと･･･などなど。
けど、こんなのへっちゃらで乗り越えてくるので。。。

あーあ。

From xxxYukihiroxxx