NP_Trackbackを騙るトラックバックspamについて

投稿者：hsur 投稿日時：2007-06-16 - 23:24
カテゴリー：Nucleus Tips -NP_TrackBack - トラックバック（0）- Views: 51

実はかなり前から発生を確認しているのですが、NP_TrackBackというUserAgent騙るトラックバックspamツールが出回っています。

NP_TrackBackがspamの発信源かのように取り扱われている記述も散見されるようなので、jp版の現メンテナとしての見解を述べておきます。ちなみにどんなアクセスかというと下記のようなものです。

203.143.100.125 - - [16/Jun/2007:21:23:27 +0900] "POST /item/1471.trackback/1181995866/3415172221/745a336b614796941a4c08bd502fe9c1 HTTP/1.1" 200 138 "-" "NP_Trackback/2.0.3"

このログの一番最後の"NP_Trackback/2.0.3"という部分がUserAgentなのですが、なぜこれが偽装されているのか見破れるかというと、このUserAgentは本当のNP_TrackBackには存在しないものだからです。

† これが本物だ！

本物のNP_TrackBackのUserAgentは"NP_TrackBack/2.0.3 jp##"(##はリリース番号)ですから、偽者にはjp##の部分がないのです。さらにjp4からは、TrackbackではなくTrackBackとBがちゃんと大文字表記になっています。

ちなみにですが、UserAgentが"NP_TrackBack/2.0.3 jp##"になっているのはjp版だけで、オリジナル版の2.0.3は"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"、2.1.0は"NucleusCMS NP_TrackBack plugin"となっているので参考にしてください。

† mod_rewriteで防ぐには

パターンが決まっているのでmod_rewriteを使って防ぐことができます。

短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$RewriteRule \.trackback$ - [F,L]

ノーマル短縮URLを使っている場合のmod_rewriteの記述例

RewriteCond %{HTTP_USER_AGENT} ^NP_Trackback/2\.0\.3$RewriteRule action\.php.*$ - [F,L]

† やっぱりWindowsアプリですか

この手のトラックバックツールはWindowsのアプリとして売っていたりするので、今回のこれもそういう類なのではないかと思ってさらに調べてみたところ案の定でした。実はうちのサイトは目に見えるTrackBackURLとAutoDiscovery用のURLは形式が違うようになっていて色々と情報収集できる細工がしてあります。

AutoDiscoveryを使ってトラックバックを送るには一度ページをツールで読み込む必要があるわけなのですが、今回の件はそのときのアクセスログが下記のようになっていました。ちなみにNP_TrackBackのjp版ではAutoDiscovery時の読み込みにも"NP_TrackBack/2.0.3 jp##"を使ってウェブにアクセスします。

203.143.100.125 - - [16/Jun/2007:21:11:06 +0900] "GET /item/1471 HTTP/1.1" 200 45216 "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"

このWinHttpというライブラリはMSから提供されるもののようですね。マクロなどから手軽に利用できるようなので、そういうツールなのでしょう。困ったものです。