« Flash7のプラグインにアップグレードトラックバック スパムが来た »

トラックバック スパムが来た2

先日のトラックバック スパム、一日、500回のペースで来てた(トータルで2000件弱)。ま、数は大したこともないんだけど、後々のため、Webサーバの方だけで拒否するだけじゃ、不十分なような気もしてきたので、IPベースで弾いてみることにした。

何を使おうか迷ったけど、とりあえず、ipfilterにしてみた。

カーネルは、予め

options        IPFILTER
options        IPFILTER_LOG

のオプションを付けて構築してある。

これらの機能を活用するため、まず、/etc/ipf.rulesを、

# default rules
pass in  on fxp0 all head 100
pass out on fxp0 all head 200

# block trackback spam
block return-icmp-as-dest(port-unr) in log quick proto tcp from 195.225.176.160/32 to any port = http group 100

のように作成し*1*2/etc/rc.confに、

ipfilter_enable="YES"
ipmon_enable="YES"

を追加して、フィルタ リストを操作するipfと、ログをとるためのipmonを自動起動できるように設定。

そして、

# /etc/rc.d/ipfilter start && /etc/rc.d/ipmon start

と有効化した。

  • *1 195.225.176.160は今回ブロックすることにしたIPアドレス。今回は、httpのポート(80番)に限りブロック。
  • *2 return-icmp-as-dest(port-unr)は別になくてもよく、そのままパケットを捨ててもよかったんだが、あんたの意図するサービスはありませんよ、って思いを込めたささやかな抗議…。

大体、一時間置きの間隔でやってきて、10秒内に20〜30回のトラックバックを送信して来るので、その時間帯を予想し、Webサーバのログをウォッチしてたけど、予定の時刻を過ぎても、そういったアクセスは現れない。

どうやら、フィルタリングは成功かな?と思って、syslogの方も確認してみたけど、あれ?フィルタリングのログも残ってない。

あちこち設定を見直してみたけど、ipmonは標準では、local0のファシリティを使用するのに、/etc/syslog.confには、それが記載されてなかったではないか…。

改めて、/etc/syslog.conf

security.*;local0.*                             /var/log/security

という具合に追加して、syslogdに設定を再読み込みさせる。

・・しかし、次の予定時間を過ぎても、例のトラックバック スパムが現れてくれない。別ルールを書いて、syslogにログが残るかどうかは確認済みだし、準備は万全なのに…。

先程、フィルタリングのログには残らなかったものの、アクセスのブロックは成功したと思う(単に、突然アクセスを止めたというケースもあり得るけど…)し、もしかして、一回、アクセスできなかったら、次回はもう繰り返さないのかな?いずれにしても、忘れた頃にやって来られても何なので、しばらくこのままの状態で様子見。

This entry was posted on March 28th, 2006 at 15:59:15 by masken and is filed under www, スパム対策, base.

Trackback address for this post

Trackback URL (right click and copy shortcut/link location)

4 comments

Comment from: masken [Member]

補足すると、上記、

ipmonは標準では、

の意図するところは、/etc/defaults/rc.conf内に記載されている

  • ipmon_flags="-Ds"

といったsyslogdにログを出力するような設定を想定して、書いています。

2006/03/30 @ 00:54
Comment from: masken [Member]

/var/log/security内、

Mar 31 04:42:59 scorpio ipmon[38132]: 04:42:59.201355 fxp0 @100:1 b 195.225.176.160,59194 -> 192.168.11.21,80 PR tcp len 20 60 -S IN
Mar 31 04:43:04 scorpio ipmon[38132]: 04:43:03.305968 fxp0 @100:1 b 195.225.176.160,59281 -> 192.168.11.21,80 PR tcp len 20 60 -S IN
Mar 31 04:43:04 scorpio ipmon[38132]: 04:43:03.380828 fxp0 @100:1 b 195.225.176.160,59282 -> 192.168.11.21,80 PR tcp len 20 60 -S IN
Mar 31 04:43:04 scorpio ipmon[38132]: 04:43:03.410243 fxp0 @100:1 b 195.225.176.160,59283 -> 192.168.11.21,80 PR tcp len 20 60 -S IN

来てました、来てました。

2006/03/31 @ 21:07
Comment from: masken [Member]

ついでに、新たに加わったトラックバック スパムのお友達

  • 65.110.41.200/32

君と、けなげに、コメント スパムを常習的に行ってくれる

  • 72.232.93.249/32

君も、ものすごいフィードバックの努力に応え、VIP待遇です。

毎回毎回、403エラーでお迎えするのにも、そろそろ飽きたでしょうし。

2006/04/25 @ 22:01
Comment from: masken [Member]
  • 195.225.176.158/32

も追加。何時間も延々とトラックバックを打ってくる。ほぼ、上記、

  • 195.225.176.160/32

の仲間だと思う。

2006/05/27 @ 06:04

This post has 37 feedbacks awaiting moderation...

Leave a comment


Your email address will not be revealed on this site.

Your URL will be displayed.
(Line breaks become <br />)
(Name, email & website)
(Allow users to contact you through a message form (your email will not be revealed.)