最近またトラックバックスパムが多くなってきたので、「プラグイン入れてみました！」みたいなspamでないトラックバックが来ると本当に心が和むような状況です。

でも、僕も決して指をくわえて静観しているわけではなく、常にいろいろな対策を施すことによって事が大きくなる前に難を逃れているわけですが、これを仕組みとしてある程度Nucleusのユーザの方に還元できないかと考えています。

そのひとつがNP_Blacklist jpなわけですが、その防御力をさらに高めるべく、どのようなDNSBLを参照させたら効果的なのかということをいろいろと調査してみました。

BBS/コメント/トラックバックspamその後

niku.2ch.netは2ちゃんねるの公開Proxyからの投稿禁止に使われているRBLだそうです。 この設定で1日運用してみたらあれあれ、すごい数が捕まり拒絶しています。
Apr 18 00:37:03 からApr 18 07:37:11までの7時間の拒絶記録(153回)がその結果です。（たまたま集中していたものであってこれ以降は数時間全く来ていません）
とりあえず今回の攻撃に対しては阻止率100%でした。

いろいろと調べてみると2chで使われているniku.2ch.netがなかなかの検出率であるという評判だったので、ちょっとNP_Blacklistに仕込んで調査中するよていです。わざとipfilterや.htaccessの制限を緩めたので、どの程度防げるかは数日で結果が出るものと思われます。

結果がよければ次回リリースより標準設定しているDNSBLを変更しようと思います。また、一般的なspamキーワード(porker、pornなど)はあらかじめユーザーのブラックリストに定義済みにしてリリースしようかとも考えています。

† さらにNP_Trackbackにも改造を

spamトラックバックを打つには相手先のトラックバックURLが必要となるわけですが、これをspamerがどうやって収集しているのかということを考えてみます。到底人力で収集しているとは思えないので、何らかのrobotがエントリのHTMLからTrackback Auto Discoveryを利用して収集活動を行っているものと推測されます。

この性質を利用して、NP_Blacklistに引っかかるipからのアクセスの際にはTrackback Auto Discovery用のRDFコードを吐かないようにしてみました。

さらに、Trackback Auto Discoveryに出力されるURLに細工を施し、アクセス元とタイムスタンプが分かるようにしました。こうすることでTrackback Auto Discovery経由とそうでないものの区別がつくようになります。さて、どれくらい釣れるでしょうか。

これらの対策にそれなりに効果が上がるようであればNP_Trackbackへの採用も考えようと思っています。