たまたまアクセスログ解析を見ていたら"外部ページからのリンク"という項目に不審なドメイン名が並んでいるのに目がとまった。

ドメイン名は明らかにアダルトサイトもしくはポルノサイトを想像させるに難くない名前。

そのサイトの/Memebersパスから飛んで来ていることを示している。

この/Memebersパスは以前も似たようなものを見つけて書いた覚えがあるが、ploneというフリーなCMSを用いて構築されたサイトに固有なものである。脆弱性があって第三者によってサイトを改竄される穴が存在する。

おそらくその穴を利用してページが改竄されリンクが張られているのだろうけど初めての経験である。

検索サイトで"アダルトサイトからのリンク"で検索したら膨大な数のサイトが出てきた。

単に"アダルトサイトからのリンク"を禁止している旨のサイト利用上の注意書きがヒットしているだけなんだけど、ほとんどの有名人のサイトが等しくこの文言を入れているのには驚いた。

こうした素性のわからないサイトでのリンクは一見まともなリンクと見えても実際にはページに表示されているリンク先は見せかけで実は悪意のあるサイトへ誘導するということが多い。

そうした意味でアダルトサイトからのリンクが張られると有名なことを利用して悪意のあるサイトへ誘導するのに悪用されているということにもなりかねない。いわゆる餌に使われているということである。

そうしたサイトからのリンクを禁止する条文を入れるのは理解できるが、効力は全くないといってよい。

リンクは勝手に出来てしまうし、有名なURLが囮に記載されてしまうということは防ぎようがない。

このサイトも有名になったということだろうか。まさか。

アクセスログをみたら夥しい数の以下の記録が続いていた

86.201.144.197 - - [14/Jul/2007:22:37:28 +0900] "HEAD http://members.adultxxxpornstars.com/ HTTP/1.0" 200 0 "http://members.adultxxxpornstars.com/" "Mozilla/4.7 ( compatible; MSIE 5.5; Windows 98; DigiExt )"

もともとweb serverかanonymous proxyのなんらかの穴をプロービングする目的なのだろうけど、実際にはApacheの場合は指定されたURLを中継アクセスすることはしないで以下の内容を返すのみである。たぶんプログラムで自動的に実行しているので実際にリンクが張られているわけではないと思われる。指定されているURLにHEAD perl scriptでアクセスするとパスワードを要求されるのでその先がどうなっているかは謎。

HTTP/1.1 200 OK
Date: Sat, 28 Jul 2007 12:33:31 GMT
Server: Apache/1.3.34 (Unix) PHP/4.4.1
Last-Modified: Thu, 15 Sep 2005 07:33:30 GMT
ETag: "2317a7-27f-432923ca"
Accept-Ranges: bytes
Content-Length: 639
Connection: close
Content-Type: text/html
X-Pad: avoid browser bug

anonymous proxyだと中継アクセスを許すので踏み台にしてコメントスパムやトラックバックスパムがいくらでも身元を隠して出来てしまうというわけである。

翻訳ソフトとかPVRとかにはユーザーに知らせずにAnonymous proxyサーバーがインストールされて稼働していたりして問題になったこともあった。