エントリー本文
mt-config.cgi のアクセス制限について
巷では Movable Type 3.3 の話題で賑わっているようですが、当サイトのコメントスパムで重大な問題が発生していることが発覚しました。情報展開ということでお知らせします。
まず、下記のエントリーのコメントをご覧ください。
このエントリーがブログを始めた記念すべき最初のエントリーということはおいといて、本エントリーに表示されているコメントスパムを1週間ほど前から数件/日のペースで受信していたため、セキュリティコード入力によりフィルタリングを実施しました。
ところがコメントスパムは止みませんでした。「このスパマーは手動で投稿しているのか?」と思い、次にこのコメンターの名前「100?」でフィルタリングをする設定を施しました。
しかし変化はなく、スパムコメントは投稿されてしまっていました。最後の手段として、このエントリーのコメントをクローズしたのですが、それでもスパムコメントは投稿され続けています。それが先程ご覧になったコメントです。
原因は mt4i からのコメントスパムでした。下記の内容は誤りです。
これらの対処が有効にならず、さすがに空恐ろしくなりました。
おそらく(というか間違いなく)、mt-config.cgi あるいは cookie 情報を盗まれています。そしてすべての防御をかいくぐってスパムコメントを投稿できる理由は、スパマーが自身の所有する Movable Type のようなシステムから(私のDB情報を設定して)遠隔でDBにアクセスして投稿しているのではないかと推測されます。
そう考えると、URLが大量に記述されているにもかかわらず SpamLookup - Link にひっかからない理由も納得できます。
ということで、こまめなログアウトの実施と、mt.cgi のディレクトリに下記の .htaccess を配置することを推奨します。
<Files mt-config.cgi>
deny from all
</Files>
≫ Movable Type のセキュリティ対策 from Tama-Studio's Weblog
Movable Type を設置して一ヶ月が経とうとしてますが 何のために? と... [続きを読む]
≫ Movable Type のセキュリティ対策 from Tama-Studio's Weblog
Movable Type を設置して一ヶ月が経とうとしてますが 何のために? と... [続きを読む]
スパム対策は頭の痛い問題ですよね。
私の所には先日、漢字の混じった英文コメントスパムが10件以上書き込まれていました。
なので現在は、連続した「ひらがな」か「カタカナ」が一定文字数に到達しない場合は投稿出来ない設定にしています。
この対処も何処まで有効か分かりませんが・・・。
ログアウトはこまめにした方がいいようですね。
私もMTの時から、Blog更新後は速やかにログアウトするように心掛けています。
>ねーさん
こんにちは。
ログアウトしてもダメなようです(泣)。
FTPパスワードまでHackされているかもしれません。
以前より色々見聞きし手動ではないのでは?と漠然と思っておりましたが、
改めてhttp://www.koikikukan.com/archives/2006/04/17-011020.phpの
記事にあります対策は殆どスパムに対して意味
がないということになるのでしょうか・・・。
yujirouさんのケース場合、ご本人がログインしてコメントを書き込んだりするのと
同様にある情報を取得してスパムを送ってくる人間が遠隔的に且つ
機械的(方法は分からないけど)に行っていると言う事なのでしょうか?
スパムメール、BBSへのスパムまた、この手のスパムを送ってくることは
技術的にどのようの行っているか
そのあたりを知りたいと思いますがねぇ・・・。
はじめまして、海月といいます。
いつも参考にさせていただいています。
SpamLookup - Lookups - に「niku.2ch.net」(IP-B.L)と「rbl.bulkfeeds.jp」(ドメイン-B.L)を設定してこの状態なのでしょうか。
検索させていただいてもこの文字がHit しなかったのでコメントさせていただきました。
あと、SpamLookup をかいくぐって登録されてしまうコメントに関しては
新たにキーワードを追加して対処してます。
今の所これでスパムは迷惑コメント・トラバとして処理されています。
この先どうなるかわからないんですが。
投稿用ユーザー「yujiro」のパスワードは変更しましたか?
また、投稿をmtの管理画面からしか行っていないようなら、下のURLの記述にしたがってXML RPCとAtomAPIを封鎖してみると良いかもしれません。
http://www.sixapart.jp/movabletype/news/2005/05/12-1500.html
こんにちは、yujirouさん
何時も、お世話になっています。
記事を見ていたら自分の所にも、同じスパムURLが含まれていました。
簡単に、侵入されちゃうって恐いですね
MTだけでなくすべてのブログに、当て嵌まるのですか?
>コメント頂いた方へ
現在スパム問題は解消しています。原因は別途エントリーする予定ですが mt4i からの攻撃と推測されます。
お騒がせしてすいませんでした。
>C・バードさん
こんばんは。
ご質問の件につきまして、何をもって「意味がない」とするかは個人差があると思いますが、個人的には「意味あり」と思います。
>海月さん
こんばんは。
今回の問題については、別ルートのため Spam Lookupでもひっかかりませんでした。
>Ryuichiさん
こんばんは。
情報ありがとうございました。
一応ありとあらゆるパスワードは変更しました。
インタフェースが色々あるのである意味危険ですね。
>mituruさん
こんばんは。
同じ攻撃のようであれば mt4i のコメント投稿を禁止にしてみてください。
こんばんは、yujirouさん
アドバイスを頂きまして、ありがとうございました。
みなさんスパムでは、色々悩んでいると思いますが
こう言うスパムって中々減らないですね。
TBの方も、スパムが多くなって来たので
合わせて対処して見ました。
ありがとうございました。
