PRiMENON:Weblog

« Gentoo Linux WebサイトのScreenShotsにて | メイン | PX-716A購入 »

May 01, 2005

Open Proxyと(コメント|トラックバック)スパム

ブチ切れそうな Kuro です(#'-')、今日は情報公開しちゃいまーす(何)。
Myuruca さんの日記で Open Proxy についてあったので私も。
Weblog を運営し始めると逃げられないし防ぎきれなくなってくるのがスパムです。
MT-Blacklist にはいくら .htaccess でブロックしていても色々な IP アドレスから送ってきやがります。
その多くは open proxy と呼ばれる IP アドレスを別の端末のものにして偽装しています。
open proxy は「自分は open proxy サーバを運営している」ことを前提にして運営しているはずですが、中には不正に侵入されて無断で open proxy サーバとして使われている、いわゆるゾンビ PC になっている場合があります。
私は MT-Blacklist のブロックログにある IP アドレスを host に変換して、一体どこからスパムをしてくるのか調べてみました。

すると、日本からスパムをしていることが分かりました。
これは、host の最後に jp が付いているのでわかります。
ここでは実際の host を出させていただく(といっても既に IP ブロックしているので当の本人は見れないが)。

以下にリストアップしたのは、PRiMENON:Weblog にスパムを行った JP ドメインにおける IP アドレスとホストである。
一応、IPアドレスとホストは伏せ字を使っておいた。open proxy になんでこんなことしなきゃならないのか憤りを感じるが。

61.120.95.xxx xxx.kyukof.ed.jp
210.248.183.xxx xxx.hokuriku-it.nict.go.jp
202.215.139.xxx xxx.vectant.ne.jp
210.129.184.xxx xxx.dpr.co.jp
218.47.43.xxx xxx.plala.or.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
61.192.160.xxx xxx.alpha-net.ne.jp
61.23.124.xxx xxx.home.ne.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
211.124.193.xxx xxx.zaq.ne.jp
221.186.122.xxx xxx.anabuki-housing.co.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
61.197.165.xxx xxx.san-works.co.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
219.106.249.xxx xxx.csj.co.jp
220.110.24.xxx xxx.wako.ac.jp
61.11.149.xxx xxx.cna.ne.jp
203.180.100.xxx xxx.iij4u.or.jp
219.163.56.xxx xxx.nishikawaunyukogyo.co.jp
133.146.32.xxx xxx.nissan.co.jp
203.180.100.xxx xxx.iij4u.or.jp
203.165.251.xxx xxx.home.ne.jp
221.114.35.xxx xxx.usen.ad.jp
133.146.32.xxx xxx.nissan.co.jp
202.234.131.xxx xxx.fusione.co.jp
211.126.196.xxx xxx.jyuken.or.jp
61.123.140.xxx xxx.okayamafuso.co.jp
210.172.101.xxx xxx.acrlinx.co.jp
202.248.22.xxx xxx.gsh.co.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
61.45.42.xxx xxx.wakwak.ne.jp
133.72.85.xxx xxx.kanagawa-u.ac.jp
202.157.56.xxx xxx.kcn-tv.ne.jp
210.175.251.xxx xxx.toneup.co.jp
150.7.208.xxx xxx.u-tokai.ac.jp
219.96.205.xxx xxx.disec.co.jp
210.194.18.xxx xxx.home.ne.jp
220.108.83.xxx xxx.plala.or.jp
222.144.234.xxx xxx.ocn.ne.jp
220.214.83.xxx xxx.dion.ne.jp
210.20.2.xxx xxx.home.ne.jp
210.172.124.xxx xxx.rios.jp

私を含む Weblog ユーザーは本当にうんざりしている!
open proxy を運営しているのであれば迷惑している人がいるということを理解してくれ!
(上記にあげるリストは既に対策を行っているものも含まれる)。

open proxy は port 80 以外のポートを使う場合が多いみたいです。
よく使われる port をアドレスの最後に :8000 といった具合につけて何か反応があるか調べるとわかります。
が、それはかなり面倒なのでかわはらたろうさんが公開されているOPEN-PROXY検査で調べてみましょう。
注意していただきたいのは、この検査はあくまで open proxy を調査するためのものであり、悪用しないように。
といっても特定の port しか調査できませんけど。

上記のリストから例として 210.248.183.xxx(xxx.hokuriku-it.nict.go.jp)でやってみます(←go.jpドメインかよ)。
フォームに IP アドレスを入力して、送信をクリックします。
ここで、port が開いているかどうか調査が開始されます。port が閉じている場合は時間がかかりますが、open proxy の場合はすぐ表示されます。

scanning 210.248.183.xxx:8080
scanning 210.248.183.xxx:3128
scanning 210.248.183.xxx:6588
scanning 210.248.183.xxx:80
CONNECTED
SEND
CLEAR 501
scanning 210.248.183.xxx:81
scanning 210.248.183.xxx:1080
scanning 210.248.183.xxx:8000
scanning 210.248.183.xxx:1959

上記の表示は open proxy として良く使われる port がすべて開いていることを示します。
port 80 は web サーバ用のため、CONNECT できましたが CLEAR されています。
他の port は接続ができたことを示します。

もしも port が閉じている場合は以下のようになります(私の自宅サーバの場合)。

scanning 219.111.7.xxx:8080
TIMEOUT
scanning 219.111.7.xxx:3128
TIMEOUT
scanning 219.111.7.xxx:6588
TIMEOUT
scanning 219.111.7.xxx:80
CONNECTED
SEND
CLEAR 405
scanning 219.111.7.xxx:81
TIMEOUT
scanning 219.111.7.xxx:1080
TIMEOUT
scanning 219.111.7.xxx:8000
TIMEOUT
scanning 219.111.7.xxx:1959
TIMEOUT

TIMEOUT となる場合は接続に失敗したという意味です。open proxy を運営していない場合は普通こうなるはずです。
大学や大手企業からきているので、通報したほうがいいかもしれません。
当方で検討したうえで、対処を決めます。

投稿者 Kuro : May 1, 2005 12:24 AM

トラックバック

このエントリーのトラックバックURL:
http://www.kuroduction.com/blog/mt/mt-tb.cgi/436

コメント

投稿者 かわはらたろう : July 23, 2005 08:12 AM

投稿者 Kuro : July 23, 2005 09:28 AM

コメントしてください

名前:

メールアドレス:

URL:
保存しますか? はいいいえ

コメント: