2009年3月28日のアーカイブ

[`evernote` not found]

[`grow` not found]

[`livedoor` not found]

[`yahoo` not found]

Share on Tumblr

Tweet

スパム投稿だけを別ログに取っていたら共通点が見えてきました。
しかも２パターンに絞られます。これは、うちに来てる
AHOな自動投稿プログラムは２種類しかないってことです。

スパム投稿パターン１　ＡHoo
特定のIPから、不定期に、本文が異なる内容を投稿。
フォームは集計以前に得たようで、リクエストされた痕跡は無い。
●クッキー無し
●UAがどれも同じ
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))
●$_POSTのうち、パスワードとワンタイムチケットはまったく同じ。
　その他の内容はバラバラ。

スパム投稿パターン１’　ＡHoo’
不特定のIPからの投稿である以外は、スパム投稿パターン１と同じ。
パスワードとワンタイムチケットがスパム投稿パターンＡと同じなので
ネタ元が同じ。

スパム投稿パターン２　 ＡHoo+C
先ずフォームのリクエストがあって、その２、３秒後に初投稿。
その後短い間隔（５～２０秒おき）で、国が異なる別ホストより、
POSTとCOOKIEが全て同じ内容の投稿が１～３回程度続く。
フォームを収集したIPと初投稿のIPは同じ。
●クッキー有り
●UAがまたく同じ
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

【考え中】
ＡHoo と ＡHoo’ は、
一度収集したフォームをず～っと使いまわしのワンパターン。
hidden でフォームに埋め込んだ値まで一緒なので
この値の整合性をチェックすれば完全にハネることが出来ます。
ＡHoo の方はIPチェックで完全にシャットアウトでもいいくらい。

これに比べると ＡHoo+C は、
フォームを収集しながらリアルタイムで投稿してきます。
クッキーも備えブラウザに見せかけている巧妙なヤツです。
２度目以降投稿については、ＡHoo同様
hidden でフォームに埋め込んだ値の整合性をチェックすれば
完全にハネることができます。

【対策】
フォームの出力の際、
リモートホストのIPアドレス を hidden で埋め込んでおく。
投稿された際、
$_POSTのIPと$_SERVER[‘REMOTE_ADDR’]を比較。
一致しなければスパムボットと判定。

ただし、IPアドレスをそのまま埋めると、
プログラムでIPの書き換えを可能にしてしまうので
複合可能な方法で暗号化した値をにするなどの工夫が必要です。
あわせて、似たようなダミーの値をフォームに複数個
埋めておけば、プログラムでの解析をさらに困難にできます。
これなら COOKIE も SESSION も関係なくひろ~く応用できます。
もちろん、ＡHoo+C の初投稿はスルーなので
IPや投稿内容をチェックしてハネるあわせ技は必須です。

hidden で埋め込む値を IPアドレス にしたのは、
収集したフォームこそが投稿業者の資本であり、
フォーム収集元が明らかになることを一番嫌うと考えたからです。

フォーム収集時のIPでなければ投稿できないけど、
そのIPで投稿すると肝心なフォーム収集元が絞り込まれる。
収集しても使えないフォーム。
業者にしてみればホント嫌なことでしょう。
これがこの対策の一番の狙い。
スパムをハネるだけでなく投稿そのものを減らす対策になります。

この対策を施している旨をサイトに書いとくとさらにいいかも。