mt-config.cgi のアクセス制限について

mt-config.cgi のアクセス制限について

Posted at May 31,2006 2:15 AM
Tag:[MovableType, Spam]

巷では Movable Type 3.3 の話題で賑わっているようですが、当サイトのコメントスパムで重大な問題が発生していることが発覚しました。情報展開ということでお知らせします。

まず、下記のエントリーのコメントをご覧ください。

blog設定

このエントリーがブログを始めた記念すべき最初のエントリーということはおいといて、本エントリーに表示されているコメントスパムを1週間ほど前から数件/日のペースで受信していたため、セキュリティコード入力によりフィルタリングを実施しました。

ところがコメントスパムは止みませんでした。「このスパマーは手動で投稿しているのか?」と思い、次にこのコメンターの名前「100?」でフィルタリングをする設定を施しました。

しかし変化はなく、スパムコメントは投稿されてしまっていました。最後の手段として、このエントリーのコメントをクローズしたのですが、それでもスパムコメントは投稿され続けています。それが先程ご覧になったコメントです。

原因は mt4i からのコメントスパムでした。下記の内容は誤りです。

これらの対処が有効にならず、さすがに空恐ろしくなりました。
おそらく(というか間違いなく)、mt-config.cgi あるいは cookie 情報を盗まれています。そしてすべての防御をかいくぐってスパムコメントを投稿できる理由は、スパマーが自身の所有する Movable Type のようなシステムから(私のDB情報を設定して)遠隔でDBにアクセスして投稿しているのではないかと推測されます。
そう考えると、URLが大量に記述されているにもかかわらず SpamLookup - Link にひっかからない理由も納得できます。

ということで、こまめなログアウトの実施と、mt.cgi のディレクトリに下記の .htaccess を配置することを推奨します。

<Files mt-config.cgi>
  deny from all
</Files>
関連記事
トラックバックURL


トラックバック

Movable Type のセキュリティ対策 from Tama-Studio's Weblog
Movable Type を設置して一ヶ月が経とうとしてますが 何のために? と... [続きを読む]

Tracked on June 15, 2006 12:00 AM

Movable Type のセキュリティ対策 from Tama-Studio's Weblog
Movable Type を設置して一ヶ月が経とうとしてますが 何のために? と... [続きを読む]

Tracked on June 16, 2006 12:00 AM
コメント

スパム対策は頭の痛い問題ですよね。
私の所には先日、漢字の混じった英文コメントスパムが10件以上書き込まれていました。
なので現在は、連続した「ひらがな」か「カタカナ」が一定文字数に到達しない場合は投稿出来ない設定にしています。
この対処も何処まで有効か分かりませんが・・・。

ログアウトはこまめにした方がいいようですね。
私もMTの時から、Blog更新後は速やかにログアウトするように心掛けています。

[1] Posted by ねーさん : May 31, 2006 7:37 AM

>ねーさん
こんにちは。
ログアウトしてもダメなようです(泣)。
FTPパスワードまでHackされているかもしれません。

[2] Posted by yujiro : May 31, 2006 11:13 AM

以前より色々見聞きし手動ではないのでは?と漠然と思っておりましたが、
改めてhttp://www.koikikukan.com/archives/2006/04/17-011020.php
記事にあります対策は殆どスパムに対して意味
がないということになるのでしょうか・・・。

yujirouさんのケース場合、ご本人がログインしてコメントを書き込んだりするのと
同様にある情報を取得してスパムを送ってくる人間が遠隔的に且つ
機械的(方法は分からないけど)に行っていると言う事なのでしょうか?

スパムメール、BBSへのスパムまた、この手のスパムを送ってくることは
技術的にどのようの行っているか
そのあたりを知りたいと思いますがねぇ・・・。

[3] Posted by C・バード : May 31, 2006 10:30 PM

はじめまして、海月といいます。
いつも参考にさせていただいています。
SpamLookup - Lookups - に「niku.2ch.net」(IP-B.L)と「rbl.bulkfeeds.jp」(ドメイン-B.L)を設定してこの状態なのでしょうか。
検索させていただいてもこの文字がHit しなかったのでコメントさせていただきました。
あと、SpamLookup をかいくぐって登録されてしまうコメントに関しては
新たにキーワードを追加して対処してます。
今の所これでスパムは迷惑コメント・トラバとして処理されています。
この先どうなるかわからないんですが。

[4] Posted by 海月 : May 31, 2006 11:29 PM

投稿用ユーザー「yujiro」のパスワードは変更しましたか?

また、投稿をmtの管理画面からしか行っていないようなら、下のURLの記述にしたがってXML RPCとAtomAPIを封鎖してみると良いかもしれません。

http://www.sixapart.jp/movabletype/news/2005/05/12-1500.html

[5] Posted by Ryuichi : June 1, 2006 11:37 AM

こんにちは、yujirouさん 
何時も、お世話になっています。

記事を見ていたら自分の所にも、同じスパムURLが含まれていました。

簡単に、侵入されちゃうって恐いですね
MTだけでなくすべてのブログに、当て嵌まるのですか?

[6] Posted by mituru : June 2, 2006 9:15 AM

>コメント頂いた方へ
現在スパム問題は解消しています。原因は別途エントリーする予定ですが mt4i からの攻撃と推測されます。
お騒がせしてすいませんでした。

>C・バードさん
こんばんは。
ご質問の件につきまして、何をもって「意味がない」とするかは個人差があると思いますが、個人的には「意味あり」と思います。

>海月さん
こんばんは。
今回の問題については、別ルートのため Spam Lookupでもひっかかりませんでした。

>Ryuichiさん
こんばんは。
情報ありがとうございました。
一応ありとあらゆるパスワードは変更しました。
インタフェースが色々あるのである意味危険ですね。

>mituruさん
こんばんは。
同じ攻撃のようであれば mt4i のコメント投稿を禁止にしてみてください。

[7] Posted by yujiro : June 3, 2006 11:35 PM

こんばんは、yujirouさん 
アドバイスを頂きまして、ありがとうございました。

みなさんスパムでは、色々悩んでいると思いますが
こう言うスパムって中々減らないですね。

TBの方も、スパムが多くなって来たので
合わせて対処して見ました。

ありがとうございました。

[8] Posted by mituru : June 4, 2006 9:42 PM

>mituruさん
こんにちは。
ご連絡ありがとうございました。
携帯からの攻撃に気がつくのに数日かかりました(笑)。
ではでは!

[9] Posted by yujiro : June 6, 2006 10:16 AM
コメントする
greeting

*必須

*必須(非表示)


ご質問のコメントの回答については、内容あるいは多忙の場合、1週間以上かかる場合があります。また、すべてのご質問にはお答えできない可能性があります。予めご了承ください。

太字イタリックアンダーラインハイパーリンク引用
[サインインしない場合はここにCAPTCHAを表示します]

コメント投稿後にScript Errorや500エラーが表示された場合は、すぐに再送信せず、ブラウザの「戻る」ボタンで一旦エントリーのページに戻り(プレビュー画面で投稿した場合は、投稿内容をマウスコピーしてからエントリーのページに戻り)、ブラウザをリロードして投稿コメントが反映されていることを確認してください。

コメント欄に(X)HTMLタグやMTタグを記述される場合、「<」は「&lt;」、「>」は「&gt;」と入力してください。例えば「<$MTBlogURL$>」は「&lt;$MTBlogURL$&gt;」となります(全て半角文字)