11月16日から17日にかけて、一時的にMovableTypeが異様に重くなり、サイト更新や再構築がままならない状態だった。一体何が原因だったんだろうとサーバーログとニラメッコしてたら、新手のスパムボットというか、不正アフィリエイト専用(?)クローラーを発見。

最初は 「この無意味なリファラスパムは何? 意味あるの?」
とか思っていたが、、、「これはアレだ。Webページ下部にリファラを表示しているサイトにリンクスパムを仕込む為のクローラーなんだ」、とこのページを途中まで書いて気が付いた。

はてなダイアリー
▲有名なサービスだとはてなダイアリーの「リンク元表示」とか。
こういう所に、100ページ単位でサクっとアフィリエイトコードを仕込んじゃうツールらしい。

気が付かなかった。最初は何のためのツールか全然気が付かなかった。
と言う事でこのページ、最初は「何これ?」みたいな感じでスタートしています。

愚痴愚痴

その日は丁度サイトの一部を改装中で、サーバーが重くてエラー出まくりで、自分の出したエラーは何が原因だったんだろうと色々ログを見てた。そしたらその二日間は異常なアクセスがいつもの2倍強あったという訳。

で、該当Hostさんのアクセスはちょっと限度を超えている、と。。。

スパム
▲1秒間に3~4ページづつ取得。
今の所4~5回やって来ているけど、これが2~5分間続く。
全て90ページ前後の取得で終了しているので、そういうプログラムなんだろう。
2日間で4回、連続攻撃を行う。

リファラ
▲User agentは、初回攻撃の際はWinHttp.WinHttpRequest.5。

WinHttpで作られたツールらしい。
次の日はUser agentをIE8やIE7に変更して、全く同じパターンで攻撃してきました。

アフィリエイトコード
▲初日の最後は、リファラにアフィサイトアフィリエイトコードを付けるテストをして終了。
翌日はこのアフィリエイトコードを付けてDos攻撃して来ました。

どういうことだ・・・? ウチのサイトでテストしてるのか・・・?

 

リファラに残したURL(アフィリエイトコード&サイト)
http://www.yntwakao.org
http://hb.afl.rakuten.co.jp/hsc/0cc3004c.4aa06b4d.0cc3004b.1e9fabd1/
http://hb.afl.rakuten.co.jp/hsc/0cbec103.bc9603a8.0cbec102.ef67c3d2/

翌日、上記リファラを付けて再度秒間3~4回のペースで5~10分で90回アタックを2回。
楽天に通報してやろうかと思ったけど「無意味すぎる方法なので上記アフィリエイトコードの持ち主への嫌がらせかもしれない」と考え、それは思いとどまる。

リファラにアフィリエイトURLを貼り付けるってのは割りと良くある手法だけど、それを秒間4~3回のペースで絨毯爆撃にする意味が解らない。

 

サイト内の一部PHPのみアク禁にすればサーバー負荷はそんなに大きくならないレベルの攻撃だが、これは悪質と判断し、全面的にアクセス規制する事に。

 

攻撃を受けた日はサーバーのCPU負荷がハネ上がっていたのと、Apacheとは別に導入しているアクセス解析のUA&リファラログが通常の1.5倍以上に膨れ上がり、作動がモタつくようになったのが痛い。(結局UAとリファラのログは全部消去する羽目に。逆アクセスランキングは連続アクセス禁止設定をしていたので大きな負荷はかからず。)

そして何よりも、こんな馬鹿がいたために16日は深夜4時まで作業をする羽目になったのが悔しくて仕方がない。(深夜4時まで作業する本当の原因は自分のイージーミスなんだけどね。ただ、この攻撃がなければ夕方に原因特定できたはず。。。)

仕込まれたアフィリエイトコードで検索して気が付いた

仕込まれたアフィリエイトコードで検索してみた。
出てくる出てくる。こいつアチコチでこのクローラーを動かしてる。

色んなサイトにリファラを残しまくっている。はてなダイアリーみたいなリファラ表示するブログパーツを導入している所なんか酷い。

このツールは、「多くの人がWeb閲覧する時間に」「それなりに読まれているサイトの」「最近のリファラ一覧に表示されるため」「一気に数百ページにアクセスする絨毯爆撃ツール」なのだ。

最初は自分のサーバー操作を激しく邪魔されて腹が立っていただけだったが、それ以外の所でも腹が立ってきたな。

 

自分のアフィリエイトコードを不正に仕込む為に、高負荷がかかる時間帯を狙って他人のサーバー攻撃ですか?すごい事を考える人がいるもんだ。そしてそれを使っちゃう浅はかな人もいるもんだ。