実はかなり前から発生を確認しているのですが､NP_TrackBackというUserAgent騙るﾄﾗｯｸﾊﾞｯｸspamﾂｰﾙが出回っています｡

NP_TrackBackがspamの発信源かのように取り扱われている記述も散見されるようなので､jp版の現ﾒﾝﾃﾅとしての見解を述べておきます｡ちなみにどんなｱｸｾｽかというと下記のようなものです｡

203.143.100.125 - - [16/Jun/2007:21:23:27 +0900] "POST /item/1471.trackback/1181995866/3415172221/745a336b614796941a4c08bd502fe9c1 HTTP/1.1" 200 138 "-" "NP_Trackback/2.0.3"

このﾛｸﾞの一番最後の"NP_Trackback/2.0.3"という部分がUserAgentなのですが､なぜこれが偽装されているのか見破れるかというと､このUserAgentは本当のNP_TrackBackには存在しないものだからです｡

† これが本物だ!

本物のNP_TrackBackのUserAgentは"NP_TrackBack/2.0.3 jp##"(##はﾘﾘｰｽ番号)ですから､偽者にはjp##の部分がないのです｡さらにjp4からは､TrackbackではなくTrackBackとBがちゃんと大文字表記になっています｡

ちなみにですが､UserAgentが"NP_TrackBack/2.0.3 jp##"になっているのはjp版だけで､ｵﾘｼﾞﾅﾙ版の2.0.3は"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"､2.1.0は"NucleusCMS NP_TrackBack plugin"となっているので参考にしてください｡

† mod_rewriteで防ぐには

ﾊﾟﾀｰﾝが決まっているのでmod_rewriteを使って防ぐことができます｡

短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$RewriteRule \.trackback$ - [F,L]

ﾉｰﾏﾙ短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$RewriteRule action\.php.*$ - [F,L]

† やっぱりWindowsｱﾌﾟﾘですか

この手のﾄﾗｯｸﾊﾞｯｸﾂｰﾙはWindowsのｱﾌﾟﾘとして売っていたりするので､今回のこれもそういう類なのではないかと思ってさらに調べてみたところ案の定でした｡実はうちのｻｲﾄは目に見えるTrackBackURLとAutoDiscovery用のURLは形式が違うようになっていて色々と情報収集できる細工がしてあります｡

AutoDiscoveryを使ってﾄﾗｯｸﾊﾞｯｸを送るには一度ﾍﾟｰｼﾞをﾂｰﾙで読み込む必要があるわけなのですが､今回の件はそのときのｱｸｾｽﾛｸﾞが下記のようになっていました｡ちなみにNP_TrackBackのjp版ではAutoDiscovery時の読み込みにも"NP_TrackBack/2.0.3 jp##"を使ってｳｪﾌﾞにｱｸｾｽします｡

203.143.100.125 - - [16/Jun/2007:21:11:06 +0900] "GET /item/1471 HTTP/1.1" 200 45216 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"

このWinHttpというﾗｲﾌﾞﾗﾘはMSから提供されるもののようですね｡ﾏｸﾛなどから手軽に利用できるようなので､そういうﾂｰﾙなのでしょう｡困ったものです｡

quot/NP/UserAgent/TrackBack