チェリオメアリー

mypop

先週の金曜日、ロリポップから「CGI 動かしすぎ」ということで、ここのblosxom.cgi を止められました。特にページビューが増えた形跡もなく、不審に思いながらサーバーログを眺めたら、こんな形跡が。

219.96.158.218 - - [20/Nov/2004:04:10:12 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:10:17 +0900] "GET /mvbg/index.rdf?RandomAccess=5361 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:11:40 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:11:45 +0900] "GET /mvbg/index.rdf?RandomAccess=5648 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:13:32 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:13:37 +0900] "GET /mvbg/index.rdf?RandomAccess=6017 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:14:39 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:14:44 +0900] "GET /mvbg/index.rdf?RandomAccess=6236 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:16:06 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:16:11 +0900] "GET /mvbg/index.rdf?RandomAccess=6520 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:17:25 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:17:30 +0900] "GET /mvbg/index.rdf?RandomAccess=6775 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:18:32 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:18:37 +0900] "GET /mvbg/index.rdf?RandomAccess=6994 HTTP/1.1" 302 295 "-" "RSSMng"
219.96.158.218 - - [20/Nov/2004:04:19:39 +0900] "GET /mvbg/index.rdf HTTP/1.1" 302 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
219.96.158.218 - - [20/Nov/2004:04:19:44 +0900] "GET /mvbg/index.rdf?RandomAccess=7213 HTTP/1.1" 302 295 "-" "RSSMng"

なんじゃごりゃぁあ！！

ユーザーエージェント・RSSMng が1分置きにアクセスしてくる。その度に blosxom.cgi を叩いて RSS を吐かせる。むかつく。RSSMng って誰だよ？人の手を借りて調べた結果、敏腕プログラマＡ氏のおかげで犯人を特定できました。

mypop。

Ａ氏に動作確認をしてもらったところ、mypop は ハードディスクに RSSMng.exe をインストールして RSS を取得するらしいのです。また環境設定でRSS の観測間隔を1分単位で設定できるとのこと。ほぼ犯人確定。

しかしこの時点で夜になってしまい、苦情を言っても反応がなくなる土日休業日に突入。ついてない。それでユーザーエージェント名で RSSMng を弾こうと試みて一晩様子を見たけど、効果はゼロ。このままだと mypop へ苦情を伝える前にサーバーを追い出されかねない。

今回の事例は mypop に非があると考えているが、観測間隔を1分に指定したユーザーにも非があると判断した上で、RSSMng 発信源の IP をたぐって某プロバイダーへ苦情電話。フリーダイヤル窓口に「おたくのユーザーのスパム攻撃で鯖が止められそうだ今すぐなんとかしろ馬鹿野郎」と怒鳴りつけた。

これで収まるかなと思いきや、今度は IP を変えて mypop 砲を発射させてきた。1分間隔。仕方ないので攻撃してくる IP を一つずつ deny してます。あぁかったるい。

更に胸くそ悪いのが、ログを取得するためにロリポップユーザー専用ページへログインするのですが、mypop の広告がでかでかと置かれていて嫌でも目に入ってくること。非常に腹立たしい。この mypop の行儀悪い所作に振り回されて一方的にアカウント停止警告を宣言されているわけで。

だから GMO は（ｒｙ

（追記）「RSSは静的に吐いた方がいいよ」との助言をいただいたので、RSS と Atom は手作業更新することにした。更新作業がある時にプラグインを呼び出して、ファイル名をつけて保存して、更新用ファイルと一緒にアップロード。当面の mypop 対策は、RSSMng が頑固に要求し続ける index.rdf を設置してみた。

Posted at 2004/12/24 (Fri) 22:16 in 雑談 | WriteBacks (3)