- Old Counter
IPアドレス調査によるWordPressコメント・スパマーの特長
ブログをやっていると、コメント欄へのスパム投稿を少なからず受けますね。
ヴィトンとか、エルメスとか、モンブランとかのオンラインショッピング・サイトへ誘おうとするスパム投稿が多いですね。しかも、スパム投稿内のそのリンク先は、殆ど「偽物」サイトのようです。
そのスパム投稿、毎回IPアドレスが違いますね。時々、連続して2投稿くらいは同じIPアドレスから来ますが、その後はまた違うIPアドレスですね。内容は同じような内容ですが・・・
アクセスログの解析プラグインecSTATICを使って約1週間くらい前に発見したのですが、どうも、このスパマー達、投稿だけがランダムに別のIPアドレスを使って投稿するような「ソフト(仕組み)」を使っているようですね。
これを発見するまでは、スパマーはVPNやProxyを使って毎回違うIPアドレスで書き込んでくるのかと思っていましたが・・・
以下のスパム・コメントのIPアドレスと、ログ解析の時間列アクセスログを見てください。
WPのスパム・コメント・リストでは、この「偽」ラルフローレンのスパムコメントは、IPアドレス「222.69.237.3」から、「Verizonが500ヵ所目の・・・」の記事に投稿されていることになっています。
その時刻前後の時間列ログ解析を調べてみると、
| 時刻(GMT) | IPアドレス | ブラウザー | OS | アクセスページタイトル |
| 2012年7月2日 11:19:11 | 120.22.216.219 | Internet Explorer 6.0 | Windows XP | Verizonが500ヵ所目の・・・ |
| 2012年7月2日 11:19:14 | 120.22.216.219 | Internet Explorer 6.0 | Windows XP | Verizonが500ヵ所目の・・・ |
| 2012年7月2日 11:20:31 | 222.69.237.3 | Internet Explorer 6.0 | Windows XP | – home – |
| 2012年7月2日 11:20:34 | 120.22.216.219 | Internet Explorer 6.0 | Windows XP | Verizonが500ヵ所目の・・・ |
という順番になっています。
つまり、このスパマーの本当のIPアドレスは「120.22.216.219」で、コメントを投稿(書き込み)する時だけ「222.69.237.3」を使っています。
これにより、サイトへのアクセスをIPアドレスでブロックする時には、「222.69.237.3」からのアクセスをブロックしても何の意味も無く、「120.22.216.219」からのアクセスをブロックしないといけない、ということになります。
このことから、多分、スパマーは何か特別なソフトかサイトを使い、「投稿」ボタンを押したときだけIPアドレスを偽装できるようにしているのではないかという推測ができるのですが、何を使っているのでしょう?
※ もちろん、実際にスパマーがサイトにアクセスしているIPアドレスと、投稿ボタンを押したときのIPアドレス(上の表では、「- home -」がアクセスされた時のIPアドレス=スパム・コメント・リストに表示されるIPアドレス)の時も、あります。