新年早々 tb spam襲来(;´Д`) 新種
とりあえず手で50件ほど消しつつ、ログってた環境変数一覧から特徴を検出。
今回の奴は:
HTTP_ACCEPT='*/*'
で、
HTTP_ACCEPT_ENCODING
が無い(googlebotとかだと これが gzipや gzip ,zip になってるようだが)。
ということで、上記条件に該当する奴で mt-tb.cgi 突いたIPは全部(´ー`)弾く という処理が追加されましたとさ。
> HTTP_ACCEPT='*/*'
> で、
> HTTP_ACCEPT_ENCODING
> が無い
> 上記条件に該当する奴で mt-tb.cgi 突いたIPは全部(´ー`)
> 弾く という処理が追加されましたとさ。
激しいなぁ(^^;
Posted by: his at 2006年01月10日 02:41ログ取りはじめてからの確認ですけど、この条件に該当するのが tb spam投げてくる奴だけなのですよ(´ー`)
で、弾かれるとどうなるかというと 弾きリストに追加して
Status: 302
Location: http://${REMOTE_HOST}/
を投げ込む仕掛けになっております。そうやって、弾きリストを育ててニヤニヤしておるわけです(´ー`)
Posted by: mienmaz at 2006年01月10日 03:32