ここ数日、着弾するコメントスパムの量が急増し100件/日を越え、サーバー負荷やログ周りが心配になってきたのでその対策メモ。
普段は.htaccessで欧州方面のクラウドサービスやホスティングサーバーからのアクセスを弾いているのもあってか多くても10件程度なので、これはちょっと心臓に悪い。
↑普段1ヶ月放置しても20くらいなのに1週間でこれはちょっと…(コメント数に関しては察してください)
幸い全てのスパムはAkismetによってフィルタングされているのでコメント欄が悲惨なことにはなっていないものの、この状態が続くとサーバー屋から電子お手紙を頂きそうなので可能な限りの対策は打っておきたいところ。
当方の管理サイトはここ2、3年のコメントの投稿数は年数件なので、とりあえずメール投稿フォームが機能していればそこまで支障はなさそうなので、サイト・ブログ共にコメント欄全閉鎖でひとまず応急措置。
で、問題のログをひとかたまり抜粋
torproject.org - - [14/Feb/2022:14:37:55 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
insight.firstnetwork.cf - - [14/Feb/2022:14:42:33 +0900] "POST /wp-comments-post.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
ny1.exit.tor.alkyl.eu.org - - [14/Feb/2022:14:49:22 +0900] "POST /wp-comments-post.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
pinga.lsd.cat - - [14/Feb/2022:14:52:27 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
185-220-102-244.torservers.net - - [14/Feb/2022:14:57:36 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
5.tor-exit.neelc.org - - [14/Feb/2022:15:02:42 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
5.183.209.217 - - [14/Feb/2022:15:06:16 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
torproject.org - - [14/Feb/2022:15:09:36 +0900] "POST /wp-comments-post.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
45.153.160.134 - - [14/Feb/2022:15:13:52 +0900] "POST /wp-comments-post.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"ログを見た感じ「wp-comments-post.php」を直接叩いてコメントスパムを送り込んでいる感じなのだろうか。
そしてUser Agentがほぼ全て「Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0」(Chrome/90や85もあったが細かいバージョンがバラバラ)
同一組織による行いなのか、このUAのツールが出回っているのかは不明だが…
以下、wp-comments-post.phpにアクセスしてきて上記のUser
Agentだったホストを絞り込み。
ホスト名が改竄されているのか、Apacheログの記録がミスっているのかは不明だが、ホスト名として成立していないものも多数あり。
気になる方は以下のテキストファイルからどうぞ(記事に羅列すると流石に長過ぎる…)
📄recent_comment-spam_202202.txt
関連記事
中国聯通(チャイナユニコム China Unicom) IP範囲リスト
https://cytn.info/blog/chu_ip-range/
0 件のコメント:
コメントを投稿
* スマートフォン画面の場合は上の「コメントを投稿」をタップすると入力欄が表示されます。
* 投稿されたコメントは管理人のチェック後に公開されます。著しく不適切な内容や、記事との関連性がないもの、個人の特定ができそうな内容を含むようなコメントは公開されません。
* 管理人による返信が必要なものは「こちら」に記載のメールアドレスかメッセージフォーム等から送信して下さい。
*入力されたコメントの扱いについては「こちら」