REFERER SPAM:合言葉はUplink Systems(64.27.27.150)

こんにちは。中田ダイマル・ラケットです（嘘です）。

blogやWebサイトを立ち上げていると検索エンジンなどに引っかかって自分のblogが検索されて誰か知らない人が見に来てくれる。
で、ホントは誰か知らないのだがネット上でいろんな仮想的なコミュニティが形成される。それはそれで非常に面白くて「blogやってみてよかったばい」といった感じになってくる。
で、誰が見に来ているかを知るために完全ではないが、アクセス解析用のツールなどが出回っている。りょーちのこのサイトはseesaa blogを利用しているのだが、seesaa blogにはデフォルトでアクセス解析用の管理画面がある。seesaaのひとつの売り文句になっていたりする。
アクセス解析の仕組みはりょーちが説明するまでもないことだが、おそらくこんな感じになっているはず。

HTTPプロトコルでサイトにやってきたクライアントの情報を取得する。
いろんな解析ツールが世の中にあるのだが、アクセス解析用ログとして取得して意味のありそーなものは下記のような感じ。

・アクセス日時：サーバログなどから取得？
・ユーザのIPアドレス： REMOTE_ADDR から取得
・ユーザのホスト名： REMOTE_HOST から取得
・接続元のIPアドレス（proxy）： HTTP_X_FORWARDED_FOR から取得（できるか？）
・ブラウザの種類・バージョンなど： HTTP_USER_AGENT から取得
・アクセス元： HTTP_REFERER から取得

これ以外にも沢山あったりして、このGETした情報を上手くユーザに見せてあげることが解析ツールの腕の見せ所だったりする（らしい）。

Webサイトやblogの管理者などはこういったものを日々みながら、「お、今日は何人来た」とか「今日はどこからアクセスがあった」とか「お、こんなキーワードで検索されている」とか一喜一憂するっぽい。

ここで、アクセス元という項目に着目してみる。
track feed なども同様にこの HTTP_REFERER を取得しているみたいなのだが、中には全くリンクが貼られていないにも関わらず REFERER にログが残っているものが少なからず存在する。「これは何だろう」
で、いろいろ調べてみたらどーやらそれは REFERER SPAM というSPAMのよーである。
この REFERER はどうやら簡単に書き換えたりすることができるのである。

で、何が問題か？
みなさんのWebサイトやblogのログに下記のようなところからやってきているログが残っていると思われる。何故かポーカーのサイトが多いように見受けられるがこれらは立派なREFERER SPAM（リファラスパム）である。

（注意）下記サイトにはアクセスしないでね（他にも沢山あるっす）
サイト名の右側の文字はNetblock ownerを晒してみた。

custom-clay-poker-chips.top-poker-21.com　/64.27.27.150/　Uplink Systems
empire-poker.mynet-poker.com　/64.27.27.150/　Uplink Systems
football-gambling.win-in-poker.com　/64.27.27.150/　Uplink Systems
free-online-poker-games.gst12.com　/64.27.27.150/　Uplink Systems
online-casino.casino-ppp.com　/64.27.27.150/　Uplink Systems
online-casinos.blest-casino.com　/64.27.27.150/　Uplink Systems
online-poker.fearcrow.com　/64.27.27.150/　Uplink Systems
poker.rohkalby.net　/64.27.27.150/　Uplink Systems
poker-online.psxtreme.com　/64.27.27.150/　Uplink Systems
poker-online.terashells.com　/64.27.27.150/　Uplink Systems
poker-table-tops.party-poker-e.com　/64.27.27.150/　Uplink Systems
poker-tour.lisaandjamie.com　/64.27.27.150/　Uplink Systems
www.allabout-poker.com　/64.27.27.150/　Uplink Systems
www.allabout-poker.net　/64.27.27.150/　Uplink Systems
www.available-poker.com　/64.27.27.150/　Uplink Systems
www.baby-casino.com　/64.27.27.150/　Uplink Systems
www.casino-555.com　/64.27.27.150/　Uplink Systems
www.casino-amusement.com　/64.27.27.150/　Uplink Systems
www.casino-go.com　/64.27.27.150/　Uplink Systems
www.casino-results.com　/64.27.27.150/　Uplink Systems
www.casino-startup.com　/64.27.27.150/　Uplink Systems
www.casino-y.com　/64.27.27.150/　Uplink Systems
www.dare-poker.com　/64.27.27.150/　Uplink Systems
www.e-poker-2005.com　/64.234.220.141/　WebStream, Inc.
www.e-poker-4u.com　/64.27.27.150/　Uplink Systems
www.e-poker-4u.net　/64.27.27.150/　Uplink Systems
www.e-poker-888.com　/64.27.27.150/　Uplink Systems
www.fine-poker.com　/64.27.27.150/　Uplink Systems
www.favorite-casino.com　/64.27.27.150/　Uplink Systems
www.forever-casino.com　/64.27.27.150/　Uplink Systems
www.greats-poker.com　/64.27.27.150/　Uplink Systems
www.my-casino.biz　/64.27.27.150/　Uplink Systems
www.plus-casino.com　/64.27.27.150/　Uplink Systems
www.poker-24x7.com　/64.27.27.150/　Uplink Systems
www.poker-24x7.net　/64.27.27.150/　Uplink Systems
www.poker-4all.com　/64.27.27.150/　Uplink Systems
www.poker-4-u.com　/64.27.27.150/　Uplink Systems
www.poker-7.com　/64.27.27.150/　Uplink Systems
www.poker-boulevard.com　/64.4.195.62/　ANET Internet Solutions, Inc
www.poker-new.com　/64.27.27.150/　Uplink Systems
www.poker-org.com　/64.27.27.150/　Uplink Systems
www.poker-places.net　/64.27.27.150/　Uplink Systems
www.poker-places-4u.com　/64.27.27.150/　Uplink Systems
www.poker-stadium.com　/64.27.27.150/　Uplink Systems
www.poker-sys.com　/64.27.27.150/　Uplink Systems
www.poker-valley.com　/64.27.27.150/　Uplink Systems
www.screwy-casino.com　/64.27.27.150/　Uplink Systems
www.specific-casino.com　/64.27.27.150/　Uplink Systems
www.street-poker.com　/64.27.27.150/　Uplink Systems
www.thesmart-casino.com　/64.27.27.150/　Uplink Systems
www.varied-poker.com　/64.27.27.150/　Uplink Systems
www.wow-poker.com　/64.27.27.150/　Uplink Systems

Spam Huntress ≫ Blog Archive ≫ New poker spammer にも似たようなリストが掲載されている。

それにしてもどーなの？　この

Uplink Systems : 64.27.27.150

ってのは？　こんな奴らにドメイン発行するなよっ。これって要するにドメインは違っても同じサーバにアクセスしちゃうってことでは？　アクセスはしてないけど勿論REFERERによって画面を変えてくるくらいのことはやっていると思われる（くれぐれもアクセスしないでね）

通常検索エンジンなどのクローラーはこのREFERERに残らないように作っているようなのだがこちらのREFERER SPAMの場合は足跡を残すことが重要のようである。
例えば忍者toolsとかで検索エンジン以外のサイトからアクセスがあったりすると、「お、おれのサイト、何か紹介してるのかな？」などとクリックしてみたりすることがあるが、URLなどをよく見ないとわけのわからないサイトに引き込まれちゃったりするので注意が必要である。

りょーちの弱小blogにもこういった輩がおいでになっているので彼奴（きゃつ）らの営業活動には余念がないと見える。仕事熱心なのはよいのだが不愉快である。
しかし、こうやって、blogの管理者がこのサイトのREFERERログを見るかどうかもわからないのに（って見てしまっているが）攻撃してクリックされるのを待つってのはどうなのか？　セミの幼虫より我慢強いのか？

ちなみにこういう奴らはどんな奴なのかを調べるのには、以前紹介した Netcraft が便利っす。

うーむ。今後blogをレンタルする会社などでこういった有害サイトのアクセス拒否のサービスが出てくるよーな気がする。（ホントか？）

現実的にできるかどうかはおいといて、りょーちとしては 「HYSPRO diary - mod_rubyでspam IP filter , DoS Referer SPAM対策 いろいろ , 積極的DoS Referer SPAM対策 」で言及されている、

DoS Referer SPAMは悪質で、Apacheのステータス（403や404）に関わらず続けてくるので困ります。そこで、Black ListにはFORBIDDENを返すのではなく、1MBくらいのdummy HTMLを200で返してあげるというのはどうでしょう。

に大賛成です(^^;