まえがき

2月頃から引き続き、かなり悪質な攻撃に晒されています。運営サイトのHTMLファイルへのDDosを防ぐ仕組みを作ったら、今度は標的をコメントCGIに変更してきたっぽい。
いや、あの、、、コメントCGIは殆どアクセスの無いファイルだから、、、異常なアクセスがあった場合の解析が凄くやり易い。。。。

今さらココ(コメントcgi)を攻撃してくるとは思わなかった。
過去にきちんと対策した箇所なので、異様なログだけが残りました。対策してなかったら、かなり恐ろしい事になってた(汗)

h2>以下本文

いちおうMovableTypeのスパムコメント対策ページです。

ブログのコメント欄や各種掲示板などは、本格的にスパム業者に狙われると、Botなどのプログラム処理によって、とんでもない量のスパムを撒き散らされる危険性があります。
酷いスパム業者に狙われると、1分間に30回以上のスパムコメントを貰います。レン鯖でcgiやphpを走らせている場合だと、軽く死ねるレベルです。

8分間で240個のスパムコメント

3月18日、当サイトがどこかのスパム業者にロックオンされたらしく、とんでもない量のスパム攻撃を受けていました。

以下、3月18日にコメントCGIにアクセスしてきたIP一覧。
17時からの8分間で、異なるIPから一気に240件ものコメントを付けようとしています。ログを詳細に見てみると、1秒間に7つの異なるIPから同時スパムされている時間帯もあり、もの凄い悪意を感じます。

No.日付時間IPアドレス
2011/3/1814:14:3791.201.66.76
2011/3/1815:35:5591.201.66.76
2011/3/1816:56:4391.201.66.76
12011/3/1817:00:27212.89.23.1
22011/3/1817:00:29217.117.28.200
32011/3/1817:00:32186.42.183.5
42011/3/1817:00:32147.172.145.199
52011/3/1817:00:3867.19.7.114
62011/3/1817:00:40137.189.98.212
72011/3/1817:00:40184.107.172.98
82011/3/1817:00:41205.202.120.216
92011/3/1817:00:46121.37.58.150
102011/3/1817:00:48184.72.223.120
112011/3/1817:00:4861.19.252.148
122011/3/1817:00:48184.168.87.250
132011/3/1817:00:48115.85.145.68
142011/3/1817:00:5014.39.157.205
152011/3/1817:00:5094.33.13.18
162011/3/1817:00:51210.6.34.186
172011/3/1817:00:5165.49.33.65
182011/3/1817:00:52122.169.112.140
192011/3/1817:00:52203.80.252.34
202011/3/1817:00:53209.59.127.78
212011/3/1817:00:54202.83.168.228
222011/3/1817:00:54186.42.183.5
232011/3/1817:00:54200.174.110.123
242011/3/1817:00:5672.4.71.66
252011/3/1817:00:5778.86.125.124
262011/3/1817:00:59221.174.16.60
272011/3/1817:01:01212.89.23.1
282011/3/1817:01:0112.0.71.177
292011/3/1817:01:01217.117.28.200
302011/3/1817:01:02151.97.15.4
312011/3/1817:01:03114.108.192.8
322011/3/1817:01:0374.117.224.141
332011/3/1817:01:03208.71.69.50
342011/3/1817:01:03208.188.3.80
352011/3/1817:01:03213.239.197.15
362011/3/1817:01:04189.180.56.220
372011/3/1817:01:04222.188.173.81
382011/3/1817:01:05218.203.176.126
392011/3/1817:01:0684.33.199.124
402011/3/1817:01:09114.24.177.167
412011/3/1817:01:09123.242.153.113
422011/3/1817:01:0972.4.71.66
432011/3/1817:01:1059.165.249.102
442011/3/1817:01:11218.174.154.125
452011/3/1817:01:14118.102.144.10
462011/3/1817:01:16206.65.178.140
472011/3/1817:01:19125.73.248.55
482011/3/1817:01:19212.0.145.162
492011/3/1817:01:20184.95.38.210
502011/3/1817:01:2072.4.71.66
512011/3/1817:01:2293.63.137.50
522011/3/1817:01:2288.255.36.50
532011/3/1817:01:25111.249.175.41
542011/3/1817:01:25115.160.178.253
552011/3/1817:01:2614.39.157.205
562011/3/1817:01:26190.190.224.163
572011/3/1817:01:27221.174.16.60
582011/3/1817:01:27202.51.111.82
592011/3/1817:01:27123.242.153.113
602011/3/1817:01:27210.101.131.231
612011/3/1817:01:2772.4.71.66
622011/3/1817:01:2879.125.120.127
632011/3/1817:01:28121.145.120.165
642011/3/1817:01:28200.28.4.138
652011/3/1817:01:28114.41.18.107
662011/3/1817:01:28123.1.69.219
672011/3/1817:01:30118.166.68.180
682011/3/1817:01:30184.95.38.210
692011/3/1817:01:3085.254.9.206
702011/3/1817:01:3138.125.47.254
712011/3/1817:01:3272.53.89.69
722011/3/1817:01:32212.77.202.84
732011/3/1817:01:32212.77.202.84
742011/3/1817:01:3387.72.205.226
752011/3/1817:01:3387.72.205.226
762011/3/1817:01:3372.4.71.66
772011/3/1817:01:34134.47.109.183
782011/3/1817:01:35123.242.153.113
792011/3/1817:01:3595.116.51.38
802011/3/1817:01:3558.215.78.157
812011/3/1817:01:3514.136.194.138
822011/3/1817:01:3672.4.71.66
832011/3/1817:01:37134.47.109.184
842011/3/1817:01:38221.174.16.60
852011/3/1817:01:3886.96.229.88
862011/3/1817:01:38125.115.90.190
872011/3/1817:01:3846.137.122.245
882011/3/1817:01:38125.115.90.190
892011/3/1817:01:39212.121.200.150
902011/3/1817:01:39114.24.109.185
912011/3/1817:01:3972.53.89.69
922011/3/1817:01:39213.251.186.66
932011/3/1817:01:40189.22.190.230
942011/3/1817:01:4067.201.122.11
952011/3/1817:01:40202.138.55.226
962011/3/1817:01:4078.93.242.66
972011/3/1817:01:4165.49.33.65
982011/3/1817:01:41195.130.197.135
992011/3/1817:01:41122.166.114.190
1002011/3/1817:01:43201.173.47.121
1012011/3/1817:01:4367.201.122.11
1022011/3/1817:01:43221.2.209.101
1032011/3/1817:01:4341.160.7.134
1042011/3/1817:01:4393.97.175.61
1052011/3/1817:01:44174.133.230.40
1062011/3/1817:01:4458.215.78.157
1072011/3/1817:01:4472.4.71.66
1082011/3/1817:01:4481.22.99.142
1092011/3/1817:01:44122.234.118.31
1102011/3/1817:01:44134.47.109.184
1112011/3/1817:01:4561.164.40.151
1122011/3/1817:01:45194.247.35.2
1132011/3/1817:01:45125.115.90.190
1142011/3/1817:01:46151.1.148.128
1152011/3/1817:01:46114.25.55.20
1162011/3/1817:01:46195.130.197.135
1172011/3/1817:01:47217.117.28.200
1182011/3/1817:01:4878.192.65.83
1192011/3/1817:01:4984.232.140.72
1202011/3/1817:01:4991.143.58.1
1212011/3/1817:01:50117.240.242.115
1222011/3/1817:01:50208.188.3.80
1232011/3/1817:01:50213.248.47.87
1242011/3/1817:01:50122.241.136.132
1252011/3/1817:01:50212.89.23.1
1262011/3/1817:01:5159.165.249.102
1272011/3/1817:01:51212.89.23.1
1282011/3/1817:01:51178.33.26.119
1292011/3/1817:01:52212.85.44.12
1302011/3/1817:01:53174.37.138.181
1312011/3/1817:01:54178.63.223.168
1322011/3/1817:01:54123.242.153.113
1332011/3/1817:01:55200.165.107.34
1342011/3/1817:01:55202.28.66.115
1352011/3/1817:01:56221.2.209.101
1362011/3/1817:01:56201.238.200.13
1372011/3/1817:01:57212.49.106.212
1382011/3/1817:01:5785.194.127.10
1392011/3/1817:01:58203.191.180.69
1402011/3/1817:01:5861.187.186.150
1412011/3/1817:01:5890.182.106.162
1422011/3/1817:01:59124.135.247.97
1432011/3/1817:01:5960.28.101.10
1442011/3/1817:01:5982.137.248.4
1452011/3/1817:01:5950.16.161.226
1462011/3/1817:02:00117.240.242.115
1472011/3/1817:02:01212.89.23.1
1482011/3/1817:02:02109.205.50.8
1492011/3/1817:02:02178.162.105.21
1502011/3/1817:02:04116.72.143.151
1512011/3/1817:02:0577.254.86.63
1522011/3/1817:02:05207.252.1.194
1532011/3/1817:02:05134.47.109.182
1542011/3/1817:02:0693.167.194.251
1552011/3/1817:02:07213.197.239.196
1562011/3/1817:02:07124.65.143.242
1572011/3/1817:02:0880.156.84.187
1582011/3/1817:02:09173.192.60.3
1592011/3/1817:02:09212.89.23.1
1602011/3/1817:02:09195.135.148.103
1612011/3/1817:02:10128.249.1.206
1622011/3/1817:02:10168.167.20.69
1632011/3/1817:02:1064.202.101.154
1642011/3/1817:02:11212.49.106.212
1652011/3/1817:02:11202.108.5.35
1662011/3/1817:02:1174.117.224.141
1672011/3/1817:02:11212.0.145.162
1682011/3/1817:02:1161.63.107.26
1692011/3/1817:02:1164.210.195.182
1702011/3/1817:02:11114.24.109.185
1712011/3/1817:02:12195.222.143.205
1722011/3/1817:02:1294.177.41.146
1732011/3/1817:02:12134.47.109.185
1742011/3/1817:02:1279.125.120.127
1752011/3/1817:02:13123.242.153.97
1762011/3/1817:02:13212.89.23.1
1772011/3/1817:02:1360.25.241.158
1782011/3/1817:02:13173.65.190.34
1792011/3/1817:02:14111.249.175.41
1802011/3/1817:02:14114.40.240.205
1812011/3/1817:02:1483.142.160.103
1822011/3/1817:02:14117.240.242.115
1832011/3/1817:02:1581.4.152.117
1842011/3/1817:02:15118.166.68.180
1852011/3/1817:02:15212.77.202.84
1862011/3/1817:02:1592.43.115.143
1872011/3/1817:02:1646.23.72.87
1882011/3/1817:02:16209.221.131.75
1892011/3/1817:02:16212.49.106.212
1902011/3/1817:02:17134.47.109.182
1912011/3/1817:02:17188.138.97.9
1922011/3/1817:02:1860.28.101.10
1932011/3/1817:02:1998.254.172.109
1942011/3/1817:02:2089.207.94.202
1952011/3/1817:02:23123.1.69.219
1962011/3/1817:02:24134.47.109.183
1972011/3/1817:02:2741.72.215.106
1982011/3/1817:02:30221.197.158.174
1992011/3/1817:02:31194.116.198.179
2002011/3/1817:02:3267.216.175.132
2012011/3/1817:02:33128.249.1.194
2022011/3/1817:02:3341.190.16.17
2032011/3/1817:02:3670.87.134.122
2042011/3/1817:02:37116.217.157.20
2052011/3/1817:02:3758.137.217.251
2062011/3/1817:02:37184.106.241.169
2072011/3/1817:02:3958.97.35.132
2082011/3/1817:02:39109.205.48.142
2092011/3/1817:02:4090.36.244.203
2102011/3/1817:02:4169.50.211.167
2112011/3/1817:02:41203.80.252.34
2122011/3/1817:02:4280.156.84.187
2132011/3/1817:02:4263.70.3.56
2142011/3/1817:02:42202.6.96.31
2152011/3/1817:02:4374.117.224.141
2162011/3/1817:02:44114.41.175.241
2172011/3/1817:02:45134.47.109.185
2182011/3/1817:02:46187.111.192.5
2192011/3/1817:02:4674.67.75.188
2202011/3/1817:02:4793.63.174.168
2212011/3/1817:02:4761.63.107.26
2222011/3/1817:02:48134.47.109.182
2232011/3/1817:02:48186.194.5.66
2242011/3/1817:02:49123.1.69.219
2252011/3/1817:02:51123.242.153.97
2262011/3/1817:02:52128.249.1.194
2272011/3/1817:02:54200.174.110.123
2282011/3/1817:05:35193.198.217.4
2292011/3/1817:05:4089.28.178.40
2302011/3/1817:06:17222.77.14.54
2312011/3/1817:06:24222.77.14.54
2322011/3/1817:08:03123.242.153.97
2332011/3/1817:08:05212.0.145.162
2342011/3/1817:08:06187.111.192.5
2352011/3/1817:08:11123.242.153.98
2362011/3/1817:08:22213.3.45.238
2372011/3/1817:08:2541.190.16.17
2382011/3/1817:08:27217.78.4.120
2392011/3/1817:08:4465.49.34.13
2011/3/1818:17:1791.201.66.76
2011/3/1819:37:1991.201.66.76
2011/3/1820:57:3191.201.66.76

酷いです。
多分、これら直接攻撃してくるHostよりも、その背後にいる親玉をどうにかしないとダメなんだろうけど、私レベルじゃどうにもならない。IP割り当て国とか調べると世界中に散らばってて頭痛くなります。

こんなスパムにどう対処するか?

上記のような悪質な攻撃が来るHostは、速攻でiptablesなどファイアーウォールでアクセス不能にするのが一番良いかも。
でもいちいち個別に拒否設定しててもキリが無いのも事実。
しかし、本格的なスパム業者は、MovableTypeやWordPressのスパム判定を楽々とくぐり抜ける技を持っています。ブログCMSのプラグインで対策を行うのはもう無理なレベル。

コメントCGIをBotから守る為にはhtaccessに以下の記述を行い、http1.0でのアクセスを禁止したり、海外IPからのコメントを拒否するのが楽かも。

.htaccessに以下の様な記述を入れる

<Files "xxxxxx.cgi">
#コメントCGI(xxxxxx.cgi)に規制を入れる場合
SetEnvIf Request_Protocol "^HTTP/1\.0" http_10
#コメントCGIはhttp 1.0でのアクセスを拒否
order allow,deny
allow from .bbtec.net
allow from .jp
allow from 2iij.net
allow from mopera.net
allow from panasonic.com
allow from ibm.com
allow from as13448.com
allow from necel.com
allow from zero-isp.net
allow from bitcat.net
allow from ntt.com
#許可を与えるのは国内のプロバイダだけ。
#海外からコメントがほぼこない環境はこれが一番有効。
deny from env=http_10
</Files>

通常のスパム対策プラグインなどは、スパムが来る度にプログラムが実行され、それなりに高い負荷が発生します。別サーバーのブラックリストデータベースにアクセスするタイプのものなどは、かなりの負荷が発生します。

上記のような連続攻撃を受けると、月額500円以下の格安レンタルサーバーなどで運営している場合は、格段にレスポンスが落ちてしまうと思います。
コメント用のCGIやPHPが恒常的に作動し、「常にサーバーが重い」と感じる人は、スパムの元を根こそぎ遮断するのがお奨めです。