Perl Dukeの対応策教えてください。

[上に] [前に] [次に]
joe 1998/03/20(金) 23:59:07
ここの所、連日Perl Dukeなるモノの脅かされています。

連続カキコミはENVにて禁止しているのですが、これは効き目ないみたいです。
まだ、なにも詳しい事がわからず、対応に困っています。
BBS荒らしは、最近どこでも見かける様にまでなってます。

是非、この対応策を御教授ください。<(_ _)>


スクリプトは、WEB裏技のminibbs7.93です。

よろしくお願いいたします。

B-Cus 1998/03/21(土) 07:11:14
perl dukeって何ですか?

miyasiro 1998/03/22(日) 01:52:34
Perl Duke と言えば、ワタシが知らないだけで、皆さん周知なのかとも思ったけど、そうじゃないみたいですね。
../199803/98030016.htm はすでにご覧になってますよね。
いずれにしても、具体的にどういう書き込みがあり、どう困っているのかとかを教えてもらわないと、対応策も出しようがないと思います。

なつ 1998/03/22(日) 03:25:43
PerlDukeって掲示板攻撃用スクリプトだったと思います。
minibbs用にかかれたものだったような・・・
(記憶が曖昧で違うかもしれませんけど)

B-Cus 1998/03/22(日) 03:43:20
じゃあ、PerlDukeとやらを手に入れて、どういう攻撃をしてくる
のか調べましょう。
# ちなみに僕はさっきから探し回ってみましたけど、手に入りません
# でした。

それがダメなら、log.datというファイルを作って、
chmod 666 log.datとして、スクリプトに

open(LOG,">>log.dat");
print LOG "$ENV{'REMOTE_HOST'} ";
print LOG "$ENV{'HTTP_USER_AGENT'} ";
.
.
.
print LOG "\n";
close(LOG);

などと書き込んで、ログを取りましょう。
その結果、例えばREMOTE_ADDRが常に同一ホストであったら、
そのホストからの書き込みを禁止する、などの対策がとれます。

容量があまっているなら、
open(LOG,">>log.dat");
print LOG "------\n";
foreach ( keys %ENV ){
print LOG "$_ $ENV{$_}\n";
}
close(LOG);

とすれば、全ての情報のログが取れます。

匿名希望 1998/03/22(日) 05:10:04
とりあえずは、以下の対策をやってみてはいかがでしょうか?

・相手が独自ソフトを利用しているのでだめですが、一般には
 HTTP_REFERER(処理要求を行ったURL)をチェックし、予定のもの以外ははじきます。
../199803/98030016.htm
 従い内容チェックを行います。
・書き込みすべてにREMOTE_HOSTを取得するようにして、変な書き込みのREMOTE_HOSTは片っ端からはじくようにします。
・最後の手段:環境変数「HTTP_なんとか」のすべてに対し、「SQUID」または「Via」という文字があるものはすべてはじきます。
 これを使えば、「むき出しのIPアドレスを出している奴」以外は書き込めません。

基本的に、環境変数が「HTTP_」で始まるものはブラウザが設定、それ以外はサーバが設定します。

また、以下のことがいえると思います。

(1) 相手がProxyをかましているかどうかをチェック。
  かましていなければ相手を特定可能です。
(2) また、Proxyをかましている場合も、ProxyのWeb Masterに
  確認すればアクセス元は特定できます。
(3) 掲示板アタックで一番相手を特定できないのは「タグを利用した
  自動アタック」ですが、これはHTTP_REFERERによるチェックを
  行えば、「すべての人がGabrielなどのアタック用プラグインを
  利用している」といった状況にならない限り、かなり防御できる
  はずです。

匿名希望 1998/03/22(日) 05:59:02
上と同じものです(名前を明かすと自分のサイトが攻撃対象になりかねないのであしからず)。
さっきPerlDukeサイトに行って外部仕様を確認しました。

PerlDukeは、「掲示板への書き込みをブラウザの代わりに行うPerlスクリプト」で、
minibbsに対応してます。

一番良い対処方法は、「フォームの<INPUT>タグなどのNAMEオペラントの値を、minibbsと違うものにする」
というものです。これで当座はしのげるはずです。

さらに、「先般のNAMEオペランドを日ごとに別のものにする」という方法で、かなり長期的に
ブロックできると思われます。

miyasiro 1998/03/22(日) 16:40:17
なるほど、そんなものがあるのかぁ…
とりあえず、簡単にできることとしては、Web裏技(http://www2r.biglobe.ne.jp/~rescue/)の minibbs.cgi なら$ENV{'HTTP_REFERER'}を用いて外部からの投稿を禁止するルーチンが組み込まれているので(既定値はOFF)、これを有効にしてみてはいかがでしょう。
それから、気になることとしては、Ver.8.8 では $max_size で1回の書き込みの文字数を制限できるようになりましたが、Ver.7.5 ではこの制限ができなかったので(Ver.7.93は知りません)、$ENV{'CONTENT_LENGTH'}の大きさをチェックした方がいいかも知れません。

joe 1998/03/22(日) 23:21:32
こんばんわ。はじめにお聞きした、joeです。
仕事で、しばらく書き込みができませんでした。
せっかく、耳を傾けて頂いているのに、本当にもうわけありません。m(_ _)m

まず、いたずらのやり口ですが、多量の文ではありませんでした。
少しの文で、幾度にも書き込みされるやり口でした。
また、CGIの外部からの書き込みの禁止ル−チンですが、これは効き目がないらしいです。
テストしましたが、きちんと動作しておりました。
また、文字数の制限なのですが、通常のさまたげにならない程度に制限したとしても、
何分、今回の荒らしのやり口として、少ない文字数ですので難しいです。

それと、Proxyなどのログですが、多重にProxyをかけられた場合でも、大丈夫でしょうか?
良く、荒らしの場合は多段proxyをかけてくると思われます。(中には裸の人もいるみたいですが。。。)

それから、PerlDukeの事を僕自身もハッキリとは分かっていません。
そこで、以下のURLに詳しく載っているのを見つけましたので、お手間を取らせてしまいますが、
是非、見てみて頂けますか?
http://atropos.org/alice/ura1.htm

今、戻ってきたばかりで、お答え頂いたモノをサラッとみただけですので、なにか抜けた事を言ってるかも
ですが、なにかこちらの環境で不明な部分がありましたら、なんなりとお訪ねください。

いまから、ゆっくり読ませていただきます。

いろいろ、ありがとうございます。

とほほ 1998/03/23(月) 02:25:56
とりあえず、匿名希望さんの回答にある「フォームの<INPUT>タグなど
のNAMEオペラントの値を、minibbsと違うものにする」というのを試さ
れてはいかがでしょうか。

joe 1998/03/23(月) 05:04:48
はい。
今の自分に出来る事で、一番の方法でした。匿名さんの方法が。
そう思い、早速やってみました。
現在の所、何事もなく無事にいます。
レスが遅れて申し訳ありませんです。m(_ _)m

しばらくこの状態で様子を見てみようと思います。
また、これでも抑える事が出来なかったら、書き込みたいと思います。
皆さま、いろいろとありがとうございました。

様子見と言うことで、とりあえずは解決マ−クはしなくてもよろしいでしょうか?>とほほさん
解決だと判断された場合、解決マ−クを付けていただいて結構です。(^_^)


最後に、いろいろと多種多様な形での掲示板荒らしがありますね。
今回の事で、また一つ勉強になりました。
NAMEオペラントの変更は、datファイルと同じく、初めに変更しておくとイイですね。
まぁ、常に新しいスクリプトを使うのもイイのかもしれませんが、それまで苦心して
作り上げた自分のスクリプトってなかなか手放せなくて。(苦笑)
(たいしたモノでもないんですけどね。笑)

また、難題に突き当たった折りには、是非、お力をお貸し下さいませ。

とほほ 1998/03/23(月) 23:52:27
[[解決]]
とりあえず、表題の「Perl Duke」に対する解決にはなっているので、
「解決」マークつけておきますね。
匿名希望さんも、ありがとうございました。

匿名希望 1998/03/26(木) 06:23:01


匿名希望 1998/03/26(木) 07:31:51


過去の人 1999/11/26(金) 07:04:40
とっくに終わっている議題ですが
被害を受けた人は忘れる事は出来ないでしょう。
って事で。 ↓こんなヘボ野郎でした。 perlduke 制作者
http://www.members.tripod.com/~gesumemo/

今更 1999/11/26(金) 09:54:27
何故今になっていきなり上がってきたのか分かりませんが…
先日検索で見つけたこういうログがあります。

../199805/98050022.htm

[上に] [前に] [次に]