clamav-update

[okamura]

昨年暮れに「clamav-update :: トピックを表示 - このフォーラムにもトロイの木馬の投稿がありました」に書いた攻撃が今も続いています。1月初旬に OSX.RSplug をダウンロードさせると思われる画像付きのリンクを含んだ投稿がいくつもありました。お気づきになった方もいらっしゃるかと思います。

投稿をするためにはユーザ登録が必要で、今までは次のようになっていました。

• 画像認証付きでユーザを登録する。
  機械的な登録でないことを確認するためです。
• そのときに入力したメールアドレスに登録したユーザを有効化するための URL を通知、その URL を辿って始めて有効なユーザになる。
  他人を騙るユーザ登録でないことを確認するためです。

これらをパスすれば誰でもこのフォーラムに投稿できるユーザとして参加できていました。

機械的に行っているのか人手で行っているのかわかりませんが、過去二回の不適当な投稿をしたユーザアカウント、そしてその前後に登録されたユーザアカウントと同じパターンのユーザ登録が今でも毎日二つ程度行われ続けています。同じパターンと言っても人が見たらそうだと言える程度のパターンで、正当なユーザ登録と機械的に切り分ける明確な基準は見つけていません。

そこで次のようにユーザ登録の手続きを変更しました。

• 画像認証付きでユーザを登録する。
• そのときに入力したメールアドレスに登録したユーザを有効化するための URL をこのフォーラムの管理者(私ですね)に通知し、その URL を管理者が辿って始めて有効なユーザになる。
  機械的な判定基準が今のところない以上、私が判断するより他ありません。

こによって攻撃用のユーザのパターンになっているユーザについては有効化しないようにしています。今のところこの措置で100%攻撃投稿がブロックされています。

しかしながら、私が承認しなければ参加できないというのも中央集権的で心地よくありません。更に私が仕事などで忙しくて審査が遅れ、有用な情報を手供してくださる方や、サポートを必要としている方に迷惑がかかる事態も想定されます。なるべくこういう措置はとりたくないのですが、危険な投稿がされて登録ユーザだけでなく参照する人にも被害が及ぶ可能性の方が深刻です。

しばらくの間、ユーザの新規登録に不便をかけますが、このような状況なのでご承知置きください。正当なユーザ登録なのに有効化されない場合は、Sourceforge.jp の私のユーザページに記載されているメールアドレス宛に催促のメールをお願いします。また、より有効な対抗策をご存知の方がいらしたら是非メールにて教えてください。

このフォーラムで使用しているソフトウェアを JavaScirpt が有効なブラウザからのみユーザ登録を受け付けるように改良すればよいと思ったのですが、PHP はまともに書いたことがないので、大体読めてもちょっと自信がなくて書き換えられずにいます。
_________________
OKAMURA

[okamura]

この措置をとってから約一ヶ月して、一度だけ不正なパターンの登録があったのですが、その後更に一ヶ月以上して現在は全く無くなりました。

そこで従来のユーザ自身によるアクティベーションに戻しました。変更中に登録してくださった z-naruto にはご不便をおかけしたことと思います。済みませんでした。
_________________
OKAMURA

[okamura]

spam 投稿のためのユーザ登録が発生し始めたので再び管理者によるアクティベーションにしました。

今度は IP アドレスの範囲が限定的だったので、その IP アドレスが所属するドメインごと禁止にした上で

• spam 投稿をしたユーザ
• 性的な単語など spam 投稿に書かれるリンク先を表す単語をユーザ名に含むユーザ

を全て削除しました。もちろん spam 投稿自体も全て削除しました。
_________________
OKAMURA