MozillaZine.jp フォーラム

当フォーラムに連日多くのスパムがやって来ます。
その中からひとつの実態を画像で事例として紹介しておきます。
たまたま悪質なヤツを見かけましたのでそれを取り上げてみました。
大きいサイズもありますが、その点はご了承ください。

最初は全コーナーを席巻しているスパムの有様です。
このスパムは連日ユーザ登録を追加しては同じ URL を貼り付けていきます。

次にこのスパムのユーザ一覧の画像です。

2月26日に登録して3月1日にまとめて短時間に37通のスパムコメントを投稿しているのが
わかります。

これは投稿状況の一覧画像です。

3ページのうち最初のページです。
URL を数種類使い分けて貼り付けていますが共通する特徴はいずれもメディアプレーヤーを
表示するリンクになっている事です。

実際に貼り付けてある URL にアクセスしてみた画像です。

メディアプレーヤーの下部表示部分に少しだけ映像が出ます。
新しいバージョンのコーデックをインストールしないと見れないと案内して誘導して
います。
クリックしなくてもこのページを開いた時点でウィルス（マルウェア）を取り込むしか
けになっているようです。
危険ですのでアクセスしないようにしましょう。（汗＾＾；

次にアクセスしてしばらくすると Firefox のダウンロードマネージャが起動して
どう処理するか聞いてきます。
キャンセルしても PC 内に取り込まれるようです。
私の場合はノートンが検知・検出して遮断しました。

ダウンロードして保存するとコーデック以外の余計なウィルス類をインストールし
てしまいます。

　
参考までにノートンのログから遮断した情報を紹介します。

------------------------------------------------------------------------

発生源: C:\TEMP\9arbtmx9.exe
リスクのカテゴリ: ウイルス
リスク全体の影響: 高
適用した処理: 遮断しました

発生源: C:\Documents and Settings\user\Local Settings\Application Data\Mozilla\Firefox\Profiles\143y5i87.for2.0\Cache\CD382F96d01
リスクのカテゴリ: ウイルス
リスク全体の影響: 高
適用した処理: 遮断しました

「Trojan.Flush.K」についてのSymantec 社の解説ページ

Symantec Security Response - Trojan.Flush.K
http://www.symantec.com/region/jp/avcen ... ush.k.html

------------------------------------------------------------------------

実は上記のウィルス以外に「SpyDawn」という偽装アンチウィルスソフト（有料版）をインストー
ルして駆除しないと検出・削除できないウィルスがある、という警告表示が居座るおまけも付いて
きます。
これはノートンも検知・隔離・削除できませんでした。（現時点では）
他のスパイウェアソフトで検知・駆除可能ですが、まだ新しい種類らしく対応しているものは少な
いようです。

[ 参照 ]
SpyDawn スパイウエアについて - スパイウェアガイド
http://www.shareedge.com/spywareguide/p ... hp?id=3366
おしえてBP！ SPYDAWNについて
http://oshiete.nikkeibp.co.jp/qa2784986.html

という事でスパムの中にはかなり危険な物が含まれています。
他にもあると思われますが、対応に慣れていない方や知識の乏しい方がリンクを踏むと厄介な事
になると思います。
モデレータの方が見つけ次第スパムを削除していただいていますが、時間帯によってはこういった
危険なスパムが溢れている状況に遭遇します。
決してリンクを踏まないように、アクセスしないようにご注意ください。

今日の分の掃除が終わりました。

今のところ、このフォーラムに出没しているspammerのほとんどはPremierさんが紹介してくださった系統です。
短期間で件名、文章、URIを変えて全コーナーに絨毯爆撃を仕掛けてきます。
最低でも一日一回は来ているようで、アカウントは使い捨て、IPもバラバラです。
ひどいときにはこのspamだけが5つも6つも並んだトピックがあったりします。
絶対にリンクを踏まないようにご注意ください。

もし僕が消し忘れているのがあったらPMで構いませんのでお知らせください。

dynamis@アカウント作成時にメールアドレス誤入力したために dynamis アカウントが無効なままで使えない

この手のワンパターンなスパムは本文中の使用禁止語句を定義することで遮断できます。
使用禁止語句を管理するための UI は用意していないので phpMyAdmin などを使うことになりますが、phpbb_disallow テーブルで disallow_message の値が次のような物を設定しておくと良いと思います。
# disallow_message は phpBB++ での独自追加です

コード: 全て選択

http://Christina-Ricci-Undressing.org/
/WindowsMediaPlayer.php?movie=

以下、参考までに L10N Forum で指定している値の一部を抜粋します。
スパムの系統にもよりますが、これくらい設定しておくだけでも激減すると思います:
# "*" はワイルドカードです。
# リンクテキストが～で終わるリンクを禁止するとかドメインレベルの禁止などに利用。

コード: 全て選択

]#file=C:
-movie-
-movies-
-mp3-
-porn-
-porno-
-sex-
-teen-
-viagra-
-xanax-
.ex-google.org
/phentermine.htm
/tramadol.htm
<p><a href=\"\" title=\"\"></a></p>
>alprazolam</a>
>phentermine</a>
>xanax</a>
adult movie
anal pics
anal sex
asian porn
asian sex
buy phentermine
buy ultram
buy viagra
buyphenermine
Click here !
Click here!
free online casino
free porn
free sex
free videos!
hardcore porno
hardcore sex
lesbian movie
lesbian sex
little penis
order phentermine
order tramadol
penis growth
Porn DVD
porn star
porn video
purchase phentermine
purchase soma
purchase tramadol
sex movie
sex video
sexy babes
] .[/url]
]![/url]
]* gay[/url]
]* girls[/url]
]* loans[/url]
]* loan[/url]
]* pills[/url]
]* pill[/url]
]* sex[/url]
]* sex[/url]
]*adult video[/url]
]*alprazolam[/url]
]*hydrocodone[/url]
]*jewelry[
]*levitra[/url]
]*mp3[/url]
]*online banking[/url]
]*online casino[/url]
]*opiate[/url]
]*phentermine[/url]
]*porno[/url]
]*porn[/url]
]*pussy[/url]
]*ringtone[/url]
]*singulair[/url]
]*tramadol[/url]
]*valium[/url]
]*viagra[/url]
]*xanax[/url]
],[/url]
]. [/url]
].[/url]
]:)[/url]
]adipex[/url]
]alprazolam*[/url]
]anal *[/url]
]asian picture*[/url]
]a[/url]
]bontril[/url]
]buy flower*[/url]
]carisoprodol*[/url]
]celebrex[/url]
]Click here*[/url]
]credit repair*[/url]
]debt consolidation*[/url]
]diamond jewelry*[/url]
]didrex[/url]
]diet pill*[/url]
]diet-pill[/url]
]download free*[/url]
]forex[/URL]
]free ringtone*[/url]
]gay *[/url]
]gay *[/url]
]hydrocodone*[/url]
]in[/url]  [url=
]ionamin[/url]
]levitra*[/url]
]live teen*[/url]
]live webcam*[/url]
]melanzana[/url]
]meredia[/url]
]musica*[/url]
]online casino*[/url]
]online casino[/url]
]penis *[/url]
]pharmacy[/url]
]phentermine*[/url]
]porn*[/url]
]pussy*[/url]
]rape[/url]
]rolex *[/url]
]seduce[/url]
]sex *[/url]
]sex *[/url]
]singulair*[/url]
]soma[/url]
]tenuate[/url]
]tramadol*[/url]
]ultram[/url]
]valium*[/url]
]valtrex[/url]
]valtrex[/url]
]viagra*[/url]
]xanax*[/url]
]xenical[/url]
_site_map_page_

スパムは基本的にリンクが必須ですから、リンクに対する制限を主にしています。通常の投稿で本文中で使うことがあり得なくもないような文字列は指定できませんから。
このほか、個別のパターンのスパムに対応するためにリンク先サイトの URL や決まり文句などを大量に指定していますが、あまり一般性がない指定なので割愛。
# 使用禁止語句は届いたスパムに応じて日々のメンテナンスで随時追加し続けます。

http:// で始まる文字列数で投稿を制限する、リンク数制限に引っかかったので分割。

http://*freewebs.com/
http://*xmovies.com/
http://.mobilemovie.hotelfree.net
http://adult-
http://batterie
http://beam.to/
http://buy-
http://celebrex
http://credit
http://diamonds.
http://drugs.
http://free-casino
http://free-sex
http://freenet-
http://freeporn
http://homeloan
http://insurance.
http://iraq.in41.ws
http://jemurl.com/
http://jewelry
http://levitra
http://lotto.
http://online-banking
http://payday-loan
http://pharmacy
http://phentermine

http:// で始まる文字列数で投稿を制限する、リンク数制限に引っかかったので分割。

http://phonecards
http://porn-
http://porn-movies
http://porno
http://sex-
http://spyware
http://teens.
http://tramadol
http://ultram.
http://viagra
http://weightloss
http://xanax.

傾向分析するのであれば、ここみたいに直接削除するのではなく、もじふぉみたいに隔離場所を作って一時退避させたほうがいいかもしれませんね。

#Kambeさん見てるかなぁ……

コード: 全て選択

http://Christina-Ricci-Undressing.org/
/WindowsMediaPlayer.php?movie=

これだけ連日同じリンクアドレスが投稿されているのですから言語フィルタで他の言葉に置換する
だけでもアクセスする危険性は回避できると思います。
もちろん遮断できればそれに越した事はありませんが。
phpBB には標準でまたは MOD でそういった機能が付加できるものと推測しますが、対策を取っ
てもらえない以上は実例を紹介してリンクを踏まないように注意喚起するしかありません。

# なんとも情けない・・・・・・。

MozillaZine.jp フォーラム

"スパムコメントの実態事例(1) - (6)"

"スパムコメントの実態事例(1) - (6)"

スパムコメントの実態事例(2)

スパムコメントの実態事例(3)

スパムコメントの実態事例(4)

スパムコメントの実態事例(5)

スパムコメントの実態事例(6)

このスパムの対策法

使用禁止語句例の続き

Re: 使用禁止語句例の続き

Re: このスパムの対策法