KtJ Dragon

今まではキーワードで弾いていたんだけど、今度はありきたりな(フィルタにかけ辛い)内容のトラックバックスパムが増大。apacheのmod_evasive(連続アクセス=DoS攻撃をカットするプラグイン)をPOSTのみにかければいけるかなー、と思ってやってみたが、GETメソッドもフィルタの対象になるらしく、通常のアクセスも制限されてしまった。

仕方ないので、ベタだがTBスパム対象をipfwで全部カットしよう。つまり、

cat /var/log/httpd-access.log | grep '11/Jun/2013.*POST.*tbping' | \
sed -e "s/\([0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\) .*/add 200 deny ip from \1 to me/" | \
sort -u > spamips.txt

とかやって、その日のトラックバックしたipアドレスを抽出し、ipfwのルールとして出力、で出力されたファイルをipfwのルールに追加する、というのをやってみた。数日間はイタチごっこになるとは思うけど。むろん、まともなトラックバックがあればそのIPを抑えておいてフィルタ対象から外す必要があるわけだが。

(6/13追記)トラックバックスパムが一つだけに減った。すげえ。