NP_cles()

12345678910111213141516171819202122232425262728293031

NP_Trackbackを騙るトラックバックspamについて

 
投稿者:hsur 投稿日時:2007-06-16 - 23:24
カテゴリー:Nucleus Tips - - トラックバック(0)- Views: 155

実はかなり前から発生を確認しているのですが、NP_TrackBackというUserAgent騙るトラックバックspamツールが出回っています

NP_TrackBackがspamの発信源かのように取り扱われている記述も散見されるようなので、jp版の現メンテナとしての見解を述べておきます。ちなみにどんなアクセスかというと下記のようなものです。

203.143.100.125 - - [16/Jun/2007:21:23:27 +0900] "POST /item/1471.trackback/1181995866/3415172221/745a336b614796941a4c08bd502fe9c1 HTTP/1.1" 200 138 "-" "NP_Trackback/2.0.3"

このログの一番最後の"NP_Trackback/2.0.3"という部分がUserAgentなのですが、なぜこれが偽装されているのか見破れるかというと、このUserAgentは本当のNP_TrackBackには存在しないものだからです。

これが本物だ!

本物のNP_TrackBackのUserAgentは"NP_TrackBack/2.0.3 jp##"(##はリリース番号)ですから、偽者にはjp##の部分がないのです。さらにjp4からは、TrackbackではなくTrackBackとBがちゃんと大文字表記になっています。

ちなみにですが、UserAgentが"NP_TrackBack/2.0.3 jp##"になっているのはjp版だけで、オリジナル版の2.0.3は"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"、2.1.0は"NucleusCMS NP_TrackBack plugin"となっているので参考にしてください。

mod_rewriteで防ぐには

パターンが決まっているのでmod_rewriteを使って防ぐことができます。

短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$ RewriteRule \.trackback$ - [F,L]

ノーマル短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$ RewriteRule action\.php.*$ - [F,L]

やっぱりWindowsアプリですか

この手のトラックバックツールはWindowsのアプリとして売っていたりするので、今回のこれもそういう類なのではないかと思ってさらに調べてみたところ案の定でした。実はうちのサイトは目に見えるTrackBackURLとAutoDiscovery用のURLは形式が違うようになっていて色々と情報収集できる細工がしてあります。

AutoDiscoveryを使ってトラックバックを送るには一度ページをツールで読み込む必要があるわけなのですが、今回の件はそのときのアクセスログが下記のようになっていました。ちなみにNP_TrackBackのjp版ではAutoDiscovery時の読み込みにも"NP_TrackBack/2.0.3 jp##"を使ってウェブにアクセスします。

203.143.100.125 - - [16/Jun/2007:21:11:06 +0900] "GET /item/1471 HTTP/1.1" 200 45216 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"

このWinHttpというライブラリはMSから提供されるもののようですね。マクロなどから手軽に利用できるようなので、そういうツールなのでしょう。困ったものです。

    このエントリは役に立ちましたか?

      

    トラックバックについて [policy]

    Trackback URL:
    Trackbacks
    このエントリにトラックバックはありません

    Comments [policy]

    harukun wrote:

    はじめまして

    僕のサイトでも全く同じ手法のトラックバックスパムが来ております。

    僕の場合はIPアドレスを調べて可能な限りまとめてIPブロックすることで対応しております。

    IPブロックが可能なのはサーバー会社などにホストされているブログページやブログスタンドのようなサイトはIPアドレスが固定なのでIPブロック出来ます。

    やっかいなのは、接続プロバイダの回線を利用して自宅サーバーにホストしているサイトはIPブロックできません。

    というのは、接続プロバイダーのIPアドレスは固定型のアドレスではなく、IPアドレスが変化してしまう流動型IPアドレスを使用している為です。

    僕の場合は接続プロバイダー別にログ情報をメモ帳に記録して、直接接続プロバイダーに苦情を申し入れしています。

    その結果ですが、接続プロバイダー側も結構親切に対応してくれます。

    結果として、トラックバックスパムをかなり減らせました。

    さすがにスパマーも回線プロバイダーからの警告は無視できないですよね?

    スパマーは元「回線プロバイダー」からつぶす手法が一番利くようです。

    参考になればと思いコメントしました。

    2007-12-13 19:29 <%HatenaAuth()%> 

    Add Comments

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン