* 掲示板spammeerのPOSTの投げ方

　formを生成した時刻をtype=hiddenで記すようにしてみた。
　結果、以下のことがわかった。
・フォームの内容は最初にGETしたときのを使い回す
・不明なhiddenは、その時のをそのまま送る

　GETするのとPOSTするのとでホストを変えるのを逆手にとって、hiddenでホストに関する情報を入れておくのも手だな。

---

1158441591
rep_num 0
pass    OpMpcXNU28
jikan   1158441550
do      post
name    Debbie
data    Good design!
(略)
mail    bruce@yahoo.com
subj    My homepage

1158441626
rep_num 0
pass    OpMpcXNU28
jikan   1158441550
do      post
name    Janet
data    Nice site!
(略)
mail    emily@pochta.net
subj    My homepage

2006/09/17,06:19:03,72.36.245.197,"72.36.245.197.reversedns.resolve.ru","-","-",GET,"/WiKi/rnx/index.rb"
2006/09/17,06:19:08,72.36.245.197,"72.36.245.197.reversedns.resolve.ru","-","-",GET,"/WiKi/rnx/"
2006/09/17,06:19:10,72.36.245.197,"72.36.245.197.reversedns.resolve.ru","-","-",GET,"/BBS/BBS.cgi"
2006/09/17,06:20:03,72.36.245.197,"72.36.245.197.reversedns.resolve.ru","-","-",GET,"/WiKi/rnx/index.rb"
2006/09/17,06:21:49,72.36.245.197,"72.36.245.197.reversedns.resolve.ru","-","-",GET,"/WiKi/rnx/index.rb"

2006/09/17,06:19:38,166.121.37.9,"","-","-",POST,"/BBS/BBS.cgi","","1.1",404,748,"http://baku.homeunix.net/BBS/BBS.cgi"
2006/09/17,06:19:52,212.227.92.144,"s15209298.onlinehome-server.info","-","-",POST,"/BBS/BBS.cgi","","1.1",200,22562,"http://baku.homeunix.net/BBS/BBS.cgi"
2006/09/17,06:21:01,82.145.215.19,"","-","-",POST,"/BBS/BBS.cgi","","1.1",200,22419,"http://baku.homeunix.net/BBS/BBS.cgi"

参考資料：
ＫＥＮのつぶやき
http://photo.site-j.net/tubuyaki/vol239.html

次に全てのスパムに共通する事は、一度は必ず掲示板にアクセスして、投稿フォームを読んでいる事です。但しその後のスパム側の投稿が異なります。

タイプ１　一度アクセスした掲示板は、二度とアクセスせずに、同じ投稿フォーム情報で何度も繰り返し投稿する。海外からの大量ＵＲＬ投稿、コメント投稿はこれが多い。
タイプ２　一度アクセスした掲示板は、数回は同じ投稿フォーム情報で投稿を繰り返すが、一定間隔でまたアクセスして投稿フォーム情報を更新してゆく。
タイプ３　毎回掲示板にアクセスして、投稿フォーム情報を読み、投稿する。

#掲示板spam対策 #Web

create : 2006/09/17 (Sun)
update : 2006/09/17 (Sun)