最近ニュー速で見かける『おまんちんもどき』の仕組みを考える
最近ニュー速で見かける『おまんちんもどき』の仕組みを探るぞ。
『おまんちんもどき』の例
http://ipatukouta.altervista.org/php5/?image/livemarket2.jpg
※IPアドレス等を晒されるので注意
【おおまかな仕組み】
http://ipatukouta.altervista.org/php5/?image/livemarket2.jpg
~~.jpg という URL から画像ファイルへの直リンクのように見えるが、真ん中にある「?」がポイントだ。
これは『おまんちんもどき』php スクリプトへアクセスさせるための罠であり、「?」は http://mixi.jp/show_friend.pl?id=2 のようにクエリ(パラメータ)を渡しているために表示されているのだろう。
この =以降 を省略しても特に問題はない。
「?image/livemarket2.jpg」と書くとおまんちんもどきスクリプトは「image/livemarket2.jpg = (null)」というデータを受信するはず。
まあともかく「http://ipatukouta.altervista.org/php5/?」以降の文字列を受け取るということ、そしてその文字列は自由に設定できるということでおk。
ここを任意の文字列にすることで、例えば「?mixi.jpg」という文字列にしてその URL を mixi 内にだけ貼っておけば、『おまんちんもどき』のログからどの IP が自分の設定した罠にかったのかを割り出せる。
【取得されているデータ】
「http://ipatukouta.altervista.org/php5/」は「http://ipatukouta.altervista.org/php5/index.php」の省略形だ。
そして『おまんちんもどき』の html ソースを見ると晒しログ表示だけで javascript は含まれていない。つまりクリップボード(コピペ中のデータ)は盗まれておらず、php で取得できる「アクセス時刻」「IPアドレス」「リモートホスト」「リファラ(リンク元ページ)」「ユーザーエージェント(ブラウザ)」そして上で説明した任意の「クエリ」だけだと思われる。
また連続アクセスやブラウザを変えてのアクセスに対しても初回アクセス時のログのみ収集されることから、重複アクセスはIPアドレスをキーにしてカウントを除外されているようである。クッキーを使って重複を判断しているとしたら、ブラウザを変えればアクセスログを捕獲されるはずなんで。
【設置されているサーバ】
『おまんちんもどき』スクリプトは Altervista というたぶん無料の海外レンタルサーバに設置されている。よくわからないけどイタリア語?同名のサーチエンジンは昔からあるよね。
サーバのスペックを解読すると、容量 200MB、月間データ転送量上限 10GB、掲示板・ブログ・ギャラリーその他CMSを1クリックでインストール可能。FTP使用可能。php4/php5/GD/MySql が利用可能、.htaccess と mod_rewrite が利用可能、そのほかいろいろ…という感じっぽい。
言語がわからないので、数字とアルファベットだけを拾って想像しました。
まあそんな感じ。俺もおまんちんのコピーを作ってみようと思ってたんだけど、思っているだけで何もしないうちに先を越された。
とりあえず去年秋以降に一生懸命 php のテキストを読みまくったことだし、忘れる前に俺も作ってみなきゃ。あと一度作ったけどサーバを移転したときに壊れたまま放置している mixi 便利ボタンも復活させなきゃいかんね。
この記事に投票してくれ。頼む!→人気ブログランキング
関連する投稿
このページのURL / トラックバックURL:
Twitter・2ちゃん用の短縮URL
( ゚д゚)
よく分からんけど?の入ったURL踏まなきゃいいのね。
多分踏んでるけど・・・。
クリップボードのデータを抜かれると場合によっては危険だけど(パスワードやプライバシー情報をコピペ中のときとか)、IPアドレス&リモホを公開された程度では基本は無害でしょ。
大企業や役所からアクセスしていたり、キンタマとかで知らないうちにPCがサーバになってたらマズイけど。
俺はとりあえず「ipatukouta.altervista.org」をNGワードにいれてあぼーんした。
サーバーには悪くないはず
今は「?image」でNGワードで入れた
NGワードとは?どこに入力するのですか?あぼーんしたとは?取得されたIPアクセスを削除できる?アクセス履歴を削除できるのですか?こんな罠しかけて罪にならない?ハメられた!
まあ落ち着きなよ。
会社や役所から勤務中にアクセスしたとかでないなら
IPアドレスやプロバイダがばれたところで別に害はないでしょ。
履歴もほっときゃ上書きされて自然に消える。
直接uploda.bizにアクセスしても同様のことが起こる。
>俺はとりあえず「ipatukouta.altervista.org」をNGワードにいれてあぼーんした。
よってこうしてもそのURLだけにしか対象にならない。それにこいつはブラウザにも履歴が残らないということを考えるとLocationヘッダを吐いてただ飛ばしているだけに過ぎないから親元を弾かないと意味が無い。よって
*.uploda.bizをはじかなきゃならん。proxomitronならば
([^/]++.|)uploda.biz/
って1行をConnection killフィルタのリスト追加しておけば効果は期待できる。
その代わりIPアドレスでやられたら叶わんので一応
219.174.172.39/
も追加してやるべき。
一応Whoisで調べたけどもしPeerGuadianを導入している人ならば
219.168.0.0-219.215.255.255
の範囲のIPアドレスを丸焼きしてもいいかもしれない。
なんにせよ、注意しないとね。
なるほど、uploda.bizもNGワードに入れたw
つーか同様のサイトが増えたら事後対応するしかないわけで、
結局IPアドレス等がバレても問題無い環境でアクセスするか
串を使うかしかないな。
これが今のところ主流。自宅サーバー運営してる人は気をつけてね。
http://fatalita.sakura.ne.jp/omanchin.html
結局おまんちんって、アクセスログを公開してるだけだから防ぎようがないよね。事後対応でブロックする以外に。
javascriptでクリップボードを取得するとか、はまちちゃんトラップのようにmixiその他のログイン中サービスのユーザーIDを取得するとか、楽天&ドリコムの行動ターゲッティング広告(だっけ?ブラウザ上の不可視領域に無数のリンクを表示させ、flashとjavascriptでそれぞれのリンクの色をチェックして訪問済みURLを取得するやつ)とかの悪質なのはjavascriptとflashを切れば逃れられるけどさ。
おまんちんもどき踏んだけど
ルータしようしてても何もしなくていいよね
IP晒しだけでしょ
そゆこと
コメント受付中!
相互リンクしてくれ
相互リンクを募集中です。ニュー速民には特によろしくお願いしたい。でもスレに晒して宣伝したら負けだと思っている。
あと相互RSSを表示している人はそれも頼む。
連絡なしで勝手にリンクしてくれてもおk。こちらからもリンクします。ただ気づくまで時間がかかったり見落としたりするかも…。
現在、相互リンク申請をいただいてから最長で1ヶ月弱ほど のメール見落とし期間が御座います。気づきましたらすぐに相互リンク設定を行うとともに、お詫びの返信メールをお送りいたしますので寛容なお心をお持ち頂けるようお願いいたします。
配布元:メシウマ状態
カテゴリー
アーカイブ
ページ
外部コンテンツなど
ランキング
特別な相互リンク
自動相互リンク等(登録自由)
タグ
あとで新聞 こんにゃく入りゼリー アイデア アフィウマ状態 ウヨ クーポン グーグルツールバー コテハン コピペブログ サイト売買 サヨ スレ紹介 ニコ動 ニュー速 ネチズン バカ ミクシィ ヤフオク ラーメン レンタルサーバ 動画 政治 民主党 気になったニュースなど 炎上 無料レンタル 独自ドメイン 独自ニュース 社会問題 署名 音楽 食品 2ちゃんねる 000webhost CMS google mixi PHP PR SEO webサービス web制作 WordPress xrea YouTube全てのタグを表示
最近の投稿
Most Commented
最近のコメント
現在の閲覧者数: