SOME TANKSへのspamは相変わらずなので、ログでも取って拒否するかと覚悟を決める。
spamも山の賑わいって頻度でもないし...

最近、環境をリフレッシュしたとのことなので、現状を調べる。

Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 Server at iohack.sourceforge.jp Port 80

sf.jpでは、Optionsを除いて使えるようだ。
http://sourceforge.jp/projects/sourceforge/document/projectweb_faq/ja/7/projectweb_faq.html

Q: .htaccess は使えますか?
使えます。ただし、Options ディレクティブを除きます。 .htaccess にどんなものが書けるのかは、 apache httpd のドキュメントをお読みください。

Log関係のモジュールは入っていない。
http://sourceforge.jp/projects/sourceforge/document/project-webserv.html/ja/4/project-webserv.html
.htaccessでログを取るように設定してもエラーになる。

ログが取れないことには、deny fromに書くべき犯人の特定も難しい。
次にPukiWikiレベルでログが取れないか調べる。
ログ取りプラグインを開発している方がいる。
http://pukiwiki.sourceforge.jp/dev/?BugTrack2%2F217
ページの更新時にメールを送信する機能にIPを入れることができるようなので、それでやるか。

$ vi pukiwiki.ini.php
$notify = 1;
$notify_diff_only = 0;
$smtp_server = 'localhost';
$notify_to = 'kinneko@exsample.com';
$notify_from = 'from@exsample.com';
$notify_subject = '[pukiwiki] $page';

とりあえず、こんなのが付いたメールが来るようになった。

ACTION: Page update
PAGE: phentermine
URI: http://iohack.sourceforge.jp/tanks/index.php?phentermine
USER_AGENT: (default) Firefox/2.0.0.8
REMOTE_ADDR: 111.131.1.119

しばらく、これでアドレス収集をして、denyリストに登録するという運用しかないか。

さっそくかかったアドレスはこれ。

67.168.92.251

denyに設定したら、更新されなくなった。
と、思ったら、アドレス変更して攻めて来た。

89.78.137.234

結局はいたちごっこなわけだ。

67.168.92.251:c-67-168-92-251.hsd1.wa.comcast.net.
89.78.137.234:chello089078137234.chello.pl.

ぜんぜん違うところから同じ内容をpostに来るってことは、wiki攻撃用のボットネットを使っているってことね。
また来た。

209.149.149.132

また。

58.9.38.30
85.104.10.175

ボットネット相手では、このような方法は自動化しないときりがない。
Wikiを対象としたボットのブラックリストはあるのかな。調べても見当たらない。
ページを作って公開。
http://iohack.sourceforge.jp/tanks/index.php?blacklist

RecentDeletedの更新を停止してあったパッチを元にもどす。
http://d.hatena.ne.jp/kinneko/20070905/p7
http://d.hatena.ne.jp/kinneko/20070910/p1