折角ReffererとHostで弾けてたのに、今度は黙りブラウザバリエーションバージョンでやって来る。どうもIPで制限掛けようが、リストに載せようがお構いなしでHTTPのお作法をことごとく無視してくださる様だ。ということでググッてこんな対策を発見。
「概要が半角英数字のみのTrackBackは拒否する」
ということだそうで。でもなんか効いてないような気もするなぁ…。ちょっと様子見てみますか。
折角ReffererとHostで弾けてたのに、今度は黙りブラウザバリエーションバージョンでやって来る。どうもIPで制限掛けようが、リストに載せようがお構いなしでHTTPのお作法をことごとく無視してくださる様だ。ということでググッてこんな対策を発見。
「概要が半角英数字のみのTrackBackは拒否する」
ということだそうで。でもなんか効いてないような気もするなぁ…。ちょっと様子見てみますか。
最近ことに醜くなってきたBOT系スパム。いい加減頭に来てるのは誰しも同じなのだが、MTの方で対策をすると、バージョンアップやらファイルを入れ替える度に修正を入れなければならなくなるのでちょっと面倒くさい。そこでシステム側で対策するよりも、サーバ側でさっさと処理しちゃってくれる方が有り難い訳でして。
りんごのお味で設定した.htaccessSetEnvIf Referer "スパム.net" deny_ref SetEnvIf Remote_Host "スパム.net" deny_ref SetEnvIf Remote_Host "スパム.net" deny_host order allow,deny Allow from all deny from env=deny_ref deny from env=deny_host ErrorDocument 403 http://スパム.net/
と、まぁこんな感じで道案内をして差し上げると良いかもしれませぬ。先日もネットワーク単位で弾いてみたものの、世界中に蔓延しているBOTどもを片っ端から書き連ねるのも限度があるというもの。これならばBOTからのスパム攻撃をそのままスパム依頼主の元へRedirectして差し上げられるので、世界中の善良なサーバ達が皆、このように行き先を向けて差し上げると、全てのBOT攻撃が元に戻るという算段。当然、帯域を食いつぶして…以下、略。ちなみにこれは、ドットファイルなる.htaccessとして、当該ディレクトリに置きまふ。
先月末になって、ぎりぎりアナウンスどおりに出てきたVer.3.15に更なる改修が入った模様。
・ダイナミック・パブリッシングのコメントのソート順に誤りがあった問題を解決した ・一部のテンプレートで日本語化ができていなかった点を修正した
だそうな。早速入れ替え、入れ替え、と。相変わらずタイムスタンプだけ見て、手を抜いているのでホントに変わっているのか確証がないけど。「更新履歴」もそれはそれで良いのだろうけど、どのファイルが更新されているのかリストして欲しいものだよ。早い話がどのファイルだけ置き換えればいいのか明示して欲しいって事。またはアップデート版は、当該ファイルのみにしておくとかね。他の更新されてないファイルまで一緒に入れることないと思うんだけどなぁ。紛らわしい。というか、資源の無駄使いだよ、更新してないモノまで一緒くたは。資源の無駄使いは早くやめれ!
今月に入ってから(って、言っても僅か数日だが…)見事なまでにトラバスパム君が大挙して押し寄せてきた。こことて漏れなくその煽りを食ったのだが、以前から仕込んでおいたIP弾き君が半分は蹴飛ばしてくれていた模様。それでも日に20近くはダラダラとひっくり返される始末。ちょっと頭に来たので今までよりハードに締め上げることにした。どうせ国内しかほとんど需要は無いのだからね。whois掛けまくってインドとかKRとか、フィリPンとか、その辺のネットワークに該当するもの纏めてあぼーん。これだけでも結構効果あるのね。ちなみにコメントの方は、2バイト文字且つ平仮名連続3文字連続必須、3フレーズ必須の縛りが効いてか、pluginも使わず何の被害も無し。ちなみに仕込んだのはcgiディレクティブだけなので、ページそのものは見ることができたりとか。コメントとトラバが出来なくなるだけってのがミソ。そうそう、あと悪名名高い"NET CLR"君もアボーンしてるな。でもって403は某検索エンジンだったりとかする罠。行ってらっしゃいませー、頑張ってねーなのであります。そうそう、要望があれば公開します、そのウザウザネットワーク。要望が無ければ公開しませんけど。
「Movable Type 3.15」が出たとのことなのでそそくさとアップデート。いちお、差分だけ見て最小作業として誤魔化してみる。
Movable Type 3.15日本語版は、1月25日に発見されたセキュリティ脆弱性や、大量のスパムを受信したときのサーバー負荷を軽減するための変更などを実施しました。
とのことなので、Must Updateなんだろうなぁ。というか、MT使ってるシトは上げとくれ。
β版公開です。あたしが…じゃなくて、ヤフさんが。「Yahoo!ブログ」だそうな。さっそく作ってみたんだけど、さっぱり。ちょっと使い方判りませんですの。ビデオより使い方が難しいと危険だなぁ…。気付くとこの数年で録画さえ出来ないシトになっちゃってるし。
取り敢えずメモだけ。
「Movable Type 日本語版サイト: 【重要】 Movable Typeの脆弱性と対策について」と「Movable Type 日本語版サイト: Movable Type 3.122の提供を開始」。
後で入れ替えておこう。
りんごのお味: Blockquoteでデフォルトで改行を自動挿入
sub html_text_transform {
my $str = shift;
$str ||= '';
my @paras = split /\r?\n\r?\n/, $str;
for my $p (@paras) {
if ($p !~ m@^</?(?:h1|h2|h3|h4|h5|h6|table|ol|dl|ul|menu|dir|p|pre| center|form|fieldset|blockquote|address|div|hr)@) {
$p =~ s!\r?\n!<br />\n!g;
$p = "<p>$p</p>";
}
<!-- この下から -->
# elsif ($p =~ m@^</?(?:blockquote|div|p)@){ # ←これが最初のコード
elsif ($p =~ m@^</?(?:blockquote|div)@){ # ←こっちが修正後。divの後の|pを取った。
$p =~ s!\r?\n!<br />\n!g;
}
<!-- この上まで -->
}
join "\n\n", @paras;
}
我楽: Blockquoteタグにデフォルトで改行が入るようにする。
sub html_text_transform {
my $str = shift;
$str ||= '';
my @paras = split /\r?\n\r?\n/, $str;
for my $p (@paras) {
if ($p !~ m@^</?(?:h1|h2|h3|h4|h5|h6|table|ol|dl|ul|menu|dir|p|pre| center|form|fieldset|blockquote|address|div|hr)@) {
$p =~ s!\r?\n!<br />\n!g;
$p = "<p>$p</p>";
}
<!-- この下から -->
elsif ($p =~ m@^</?(?:blockquote|div|p)@){
$p =~ s!\r?\n!<br />\n!g;
}
<!-- この上まで -->
}
join "\n\n", @paras;
}
このMTは「WebARENA Suite」を利用している。偶にあるのだが、何故か突如としてCGI系のpermissionが狂いまくる。恐らくdiskの入れ替えやら、機材間でのスペースの強制的な移動(ファイルの)を、行っているのではないかと想像するのだが、固定的な拡張子以外のファイルなんざそれはもう悲惨を通り越してしまう。またCGI系のperlなんかも、ファイルによってpermissionが区々だったりして、動かなくなってしまっていることも多い。前述のようなことをするな、とは言わないが、せめて動かす前と同じにだけはしておいて欲しいものだ。数100にも上るファイルを一々確認していく作業はほんとに疲れる。これだけで数時間を浪費してしまうのだよ。せめてSSHだけでも通してくれると一気に片付けられるので助かるのだが、未だにFTPなどというセキュリティのかけらもない方法でしか管理することが出来ない。なんとかして欲しいものだ。
「HTTPサーバ上でPHPとMySQLを用いて動作するCMSツール」とのこと。実際にこの記事を読む限りではどのようなものが出来上がるのか想像するしかないのだが、所謂従来のCMSとMTのようなBlog系Toolを合わせて2で割ったような感じを受けた。ちょっとした組織で運用することを前提としていそうな感じ。
・Geeklog - The Ultimate Weblog System
・Geeklog Japanese
現時点で恐らくアクセスが集中してるからか、日本の方はerror吐いちゃってて見ることが出来ないんですけど、モノは試しで使ってみるのも面白いのではないかと。
ちなみに今、吐いちゃってるエラーは
Warning: main(/home/ec1598/geeku/language/japanese_utf-8.php): failed to open stream: No such file or directory in /home/ec1598/public_html/geek/lib-common.php on line 323 Fatal error: main(): Failed opening required '/home/ec1598/geeku/language/japanese_utf-8.php' (include_path='/home/ec1598/geeku/system/pear/:.:/usr/lib/php:/usr/local/lib/php') in /home/ec1598/public_html/geek/lib-common.php on line 323
とな。早く直してけれ。
これは面白い。「RSSフィードの「人気度」と「更新頻度」をシンプルに段階表示できたら便利、と思って作ったのが、この feed meter です。」だそうな。
ということで「feed meter」を張り付けてみました。
Movable Type 3.121にアップデートしました。相変わらずこの環境ではPublishの際にError吐いてくださいますが、多分何処かのlibのバージョンとかperlのバージョンのせいかと。ついでに前から気になっていたログイン画面以降のCSSをそこはかとなくいぢってみる。ほへぇ、いい感じ。季節柄、暖色系にしてみたりとか。あ、これは自分しか見ることできませんね。残念。
「Movable Type 3.11日本語版」が公開されている。よって早速ダウンロードして差し替えてみた。細かな仕様の追加や、DB回りを使った際の負荷軽減が計れそうな感じがするのだが、いかんせんこのサーバ、DBさんがOPなため使用していないので効果を確認できない。そのうち何処かでインプレッションが出てくることでしょう。それまで待ち…ですかねぇ。
最近のコメント