やる夫のサイトにスパムが来たようです。

apacheスパム対応

たまにスパムが襲撃することがあります。辞めてもらいたいです・・・。やる夫のサイトにも
スパムが来たようです。

やる夫のサイトを見る権利を与えるお！！
　　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　/　　 | 　|　 l　ヽ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |. `|　 | 　ｌ　 l. 　|
　　　　　　　　　　　　　　　 ／￣＼　　　　　　「￣￣￣￣￣￣|　 | 　,'　/　ﾉ￣￣|
　　　　　　　　　　　　　　　|　　　 　|　　　　　 |　　　　　　　　　ヽ_ｊ　 / /／　　 　 |
　　　　　　　　　　 　　　　　＼＿／　　　　　　|　　　　　権利書ヽ_ﾊ/′　　　　 |
　　　　　　　　 　　　　　　　　　|　　　　　　　　|　　　　　　　　　　　　　　　　　　　 |　　　　　　　　　　
　　　　　　　　　　　　　　／ ￣ ￣　＼　　　　|　 　　 やる夫　neet対策サイト　 |
　　　　　　　　　　　　 ／　　＼　／　　＼..　　|　　　　　・・・　・・・ ・・・　　　　　　 |
　　　　　　　　　　　／　　 ⌒　　　⌒ 　　＼　|　　　　　・ ・　・・ ・・・　　　　　　　 |
　　　　　　　　　　　|　　　　（__人__）　　 　　|/| 　　　　　　　　　　　　　　　　　　　|
　　　　　　　　　　　＼　　　 ｀ ⌒´　　　　／ｌ|.|　：：：：：：：：：：：：：：：：：：：：：：：：　|
　　　　　　　　　　　ヽ､--ー､＿＿,-‐´イ 　 l ﾘ　：：：：：：：：：：：：：：：：：：：：：：：：　|
　　　　　　　　　　　　　＞'´/ ／　_,.ﾉ|/　 　 l.|　：：：：：：：：：：：：：：：：：：：：：：：：　.|
　　　　　　　　　　 ,ｒ７′_,.ﾚｧ‐‐'′、 l　 i　　ｌ|　　　　　　　　　　　　　 _＿　　　　 |
　　　　　　　　　　/,厶イ_:.:/　　　　ヽヽ. :l　　|　　　　　　　　　　　　〃.　 ｀ヾ　　　|
　　　　　　　　 　/7 　 /:.:「　　　　　　　ゝL／|　　　：：：：．．．．．　|l neet　||..　　|
　　　　　　　　／〈　　/:.:.:.:',　　　 ／　　// 　 |　　　：：：： 　 　 　 　|ｌ　株.　l.|..　　|
　　　　　　　∧',. ﾍ　/:.:.:.:.:.:',　 ／　　　〃　 　|　　　　　　　　　　　　ヾｰ-‐ｼ　　　 |
　　　　　 ／　ヽヽ V:.:.:.:.:.:;.ｲﾍ　　 　 ﾄｒ'′　　.!　　　　　　　　　　　　　 ￣´　　　 |
　　　　　 l　｀ヽ >､ﾌ:.:.:.:／:.:./　　　　　ｌ　　　 └─────────────

お言葉に甘えて、スパムさんが来たようです。

　 　 　 　 　 　 ＿＿＿
　　　　　　　／　　 　 　＼　　　　　　　
　　　　 　／ノ　　＼　　 u. ＼　！？
　　　　／ （●） 　（●） 　　　＼　おっお・・・
　　　　|　 　（__人__）　 　　u. 　 |
　 　　 ＼　u.｀ ⌒´　 　　　　／　　　　　サイトが重くて使えなくなったお・・・
　　　　ノ　　　　　　　　　　　＼
　 ／´　　　　　　　　　　　　 　　ヽ
　|　　　　ｌ　　　　　　　　　　　　　　＼
　ヽ　　　 -一''''''"~~｀`'ー--､　　　-一'''''''ー-､.
　　ヽ ＿＿＿＿(⌒)(⌒)⌒)　)　　(⌒＿(⌒)⌒)⌒))

スパム確認方法

# view indigo02.access.log
-----
211.112.0.0 - - [10/Apr/2008:16:18:51 +0900] "POST /neet/yaruo/hogehoge HTTP/1.1" 403 228 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; AT%26T CSM6.0; SV1; .NET CLR 1.1.4322)" yaruo.neet.com 80 "-"
-----

viewで眺めていると、やたらと”211.112.0.0”というアドレスからの接続が多いようです。他になんかいい方法があれば知りたい・・・・。

# cat indigo02.access.log | grep 'hogehoge' | grep '2008:17:3' | gerp 211.112.0.0 wc -l
7645
# echo 211.112.0.0 | xargs whois  | grep Country
Country:    KR

17:30分台で、”211.112.0.0”からのアクセスを調べてみると、約7000件・・・。やる夫のサーバ構成は5台構成（とする）なので、だいたい35000件のアクセスであることが予想されます。10分間に35000ってかなりの数ですね。

　　　　　　　　＿＿＿_.|┃┃
　　　　　 　／ ノ 　 ヽ､ |┃┃　
　　　　　／<●>::::::<●|.┃┃　 みんなに開放してのに
　　　 ／ 　　 .（__人__） |┃┃　　　　 随分図にのってくれましたね・・・
　　　 |　 ノ（　　|r┬ | . |┃┃
.　　 　＼⌒　 　|r l　|　.|┃┃
　　　　/　 　 　　`ー' 　|┃┃
　　　 /　i 　 　　　　（.二つ┃
　　　{　ﾐi　　　　　　（.二⊃┃　ﾐｼﾐｼﾐｼ
　　　l　ﾐii 　 　 　 　 ト､二)┃
　　　|　ﾐｿ　 　　　　:..｀ﾄ-'. ┃

国を調べてみると、”KR”どこかは良く分からないですが、日本ではないようです。お隣さんですかね？速攻ブラックリストに投入です。apacheだったら下記のような感じで制御します。フィルタ側を閉じちゃっても良いかも・・・。

　　　　 　　　　　γ⌒)　 　　　　　
　　　　　　　　 /　⊃￣￣￣＼ 　　　　　　ブラックリストに速追加だお
　　　　　　〃/　/　　　::＼:::／::ヽ∩⌒)　））
　　　　　　　γ⌒)　 <●>:::<●|/　ノ　　
　　　　　　／ _ノ　　　 （__人__）}　/　））　　　　　
　　　　　（　 <　　.　　　 ｀ ⌒´ ､（ ⌒）　 　ｵﾗｵﾗ
　　　　（( ＼　ヽ　　　　　　　　 　/　　　　　
　　　　　　　ヽ_　_　　　　　　　|ノ　　　　
　　　　　　　　|　　　　 　 　 　 |　　　　 特にアジア系は厳しく
　　　　　　　　|　　　　　　　　　|
　　　　　　　　i　　　　　￣＼ ./ ｵﾗｵﾗ
　　　　　　　　　＼＿　　　 　|/ 　　
　　　　　　　　　 _ノ　＼＿＿_） 　　　　　　ｵﾗｵﾗ
　　　　　　　　　（　　　 _／
　　　　　　　　　 |＿ノ

apache ACL設定

# vi /usr/local/apache/conf/http.conf
-----
<LocationMatch /neet/yaruo>
Order deny,allow
deny from 211.112.0.0/24
</LocationMatch>
-----