redir.cgi って何?

2007年7月1日(日) 11時55分 by level
B ?

えむもじらのアクセスログでこのところ、異常なアクセスが見られます。UA が DoCoMo/2.0 P901iS(c100;TB;W20H10) でリファラ元が redir.cgi を含む以下の特定サイトのアクセスが定期的に絨毯爆撃していくのです。

  • http://diary.noasobi.net/antenna/redir.cgi/1178586541
  • http://www.fan.gr.jp/%7Esakai/cgi-bin/redir.cgi/1180614900
  • http://alimika.alib.jp/satomican/redir.cgi/1181045820

(実際には、上記アドレスの末尾に、えむもじらの該当記事の URL が付加されます。)

その割合は、6月20日からの10日間の集計では個別記事に対する全アクセスの8%(5442回)にもなります。これっていったいどういうものなのでしょうか?

ちなみに、ボット系の上位3つは、Yahoo! Slurp が23.5%、Googlebot が4.6%、msnbot が2%です。

コメント (10)

1 7/01 15:13 のり
(c1) [2007/07/01 15:13:51] by のり

アンテナの未読管理をする目的でリンク URL の末尾に更新時刻などのクエリーを付加したりすることがあるのですが、それだとリンク先に飛んだ時に余計なクエリーが付加されたままになるので、これを回避する目的で間に redir.cgi というリダイレクタをかませています。
この辺の経緯については、ねこめしにっき(2004年6月)
http://www.remus.dti.ne.jp/~a-satomi/nikki/2004/06.html の『従来型アンテナのつける「謎クエリ」に関して』と題した一連の記事が詳しいです。(redir.cgi のソースも公開されています)
で、うちの先月のアクセスログを見てみたところ、UA が DoCoMo/2.0 P901iS(c100;TB;W20H10) のうちのサイトへのアクセスは2件しかなく、それもアンテナへのアクセスではありませんでした。そのことから考えるに、一度うちのアンテナから redir.cgi を含むえむもじらの URL を収集したなんらかの bot が何らかの意図をもって行っているものと思われます。>絨毯爆撃
私のアンテナは、1時間に2回の頻度で、えむもじらの rss.xml を取得しに行っているのですが、とりあえず、アンテナからはずしておいたほうがいいでしょうかね?

2 7/01 18:13 level
(c2) [2007/07/01 18:13:36] by level

これって、やはり、アンテナソフト自身がやっているのではなく、第三者から踏み台にされているんですよね。そもそも、第三者に利用できるリダイレクタというのは問題あるような気がします。以前、フィッシングリンクがNYTなんかのリダイレクタを利用して、リンク先を安全なサイトに見せかけるというような手口がはやったとというのがあったように思います。
最も今回の場合は、明らかにクローリングが目的で、どういう理由でリダイレクタを使用しているのか不明ですが。

今回、アクセスもとのIPは2種類で、diary.noasobi.netが一つ、fan.gr.jpとalimika.alib.jpとで一つで、しかも末尾の一桁だけ異なるというもので、これからも、今回のアクセスが同一犯というのがうかがえます。
とりあえず、この二つのIPを.htaccessに登録しておきました。

3 7/01 21:52 のり
(c3) [2007/07/01 21:52:45] by のり

先のコメントに誤りがありましたので、訂正します。
>で、うちの先月のアクセスログを見てみたところ、UA が DoCoMo/2.0 P901iS(c100;TB;W20H10) のうちのサイトへのアクセスは2件しかなく、それもアンテナへのアクセスではありませんでした。
これは私が先月分のログと今月分のログを間違えて検索していためでした。6月分のログを再度検索してみたところ、大量の痕跡が残っていました。(汗
で、えむもじらさんへリダイレクトされたと思われるのは、なんと6300件ほどありました。
どうもリンクらしきものは軒並みさらっていっているようで、うちのサイトの中も総ざらえ状態で絨毯爆撃していったようです。また数は54件と少ないものの同様にリダイレクタを使用している秀の介さんところのアンテナ経由で来ているものがありました。UA は同じく DoCoMo/2.0 P901iS(c100;TB;W20H10) です。おそらく level さんのところへ来たものと同一の IP だと思われます。末尾が 45 と 47 のものです。
とりあえず、私のところでもこの IP を拒否するように .htaccess に追加しておきました。
ご迷惑をおかけしたようで申し訳ありません。
確かに考えてみると、第3者が利用できるリダイレクタは問題がありそうですね。ちょっと利用方法を考えてみます。

4 7/02 00:12 level
(c4) [2007/07/02 00:12:06] by level

わざわざ調べていただいてありがとうございます。
> 末尾が 45 と 47 のものです。
うちの二つもまさにそれです!
とりあえずこのまま様子を見てみます。

5 7/02 00:36 sakai
(c5) [2007/07/02 00:36:32] by sakai

どうもご迷惑をおかけしました。すぐに対応策を講じる余裕が無いため、とりあえずredir.cgiおよびアンテナを撤去しました。
ほとんどのサイトでRSSが提供されているご時世ですし、無くても困らないんですよね…

6 7/02 04:43 jun
(c6) [2007/07/02 04:43:43] by jun

YICHA を締め出すには IP でデニらないとダメ
http://www.hazama.nu/t2o2/archives/002707.html
この記事にあるのと同じでは?中国の企業らしいですね。

7 7/02 12:31 level
(c7) [2007/07/02 12:31:41] by level

sakaiさん
こちらこそお手数おかけいたしました。

junさん
たしかに、そのページでさらされていたIPでした。

しか、考えてみると、Yahoo! Slurpもひどいですね。適度に間隔をあけているとはいえ、4回に1回がYahoo! Slurpなんですから。最近のエントリは1日あたり3回くらい見に来てます。そこまでやる必要あるのでしょうか。
他のブログもそんなものでしょうか?

8 7/02 21:30 秀の介
(c8) [2007/07/02 21:30:49] by 秀の介

いろんな方に迷惑をおかけしたみたいで、恐縮です。
うちでは、47の方で大量にアクセスされていました。
ひとまず、45と47まとめて、denyするようにしました。

14 7/03 22:34 level
(c14) [2007/07/03 22:34:17] by level

コメント欄では、本文と関係のない話題を避けるのはマナーだと思いますよ。

IT用語を調べるならGoogleで「~とは」で検索すると結構見つかります。
ただしアンテナは本物のアンテナがたくさん出てくると思うので「はてなアンテナ」あたりが手っ取り早いと思います。

はい、この話題はおしまい。

15 7/04 00:04 庄司眠夢
(c15) [2007/07/04 00:04:49] by 庄司眠夢

ありがとうございました。
マナーを教えて頂けたことに深謝します。マナーを知らぬから「素人質問…」と書き込んでいたのです。

最後にお願いします。
削除キーを打ち込んでも、私のコメントが消せません。
後々の来訪者の方たちのためにも「管理者権限」で私のコメントを消してください。

ごめんなさい。そして教えてくださったマナーを大切にします。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. 閾値以下のデータしかありません。