まちゅダイアリー

■ Wiki と荒らし

管理している Wiki にて、3000以上のページが同じ内容に書き換えられるという攻撃を受けた。 ついでに、設置していた掲示板 (RuBBS) までもが、被害を受けた。

攻撃の手法は以下の通り。

• PukiWiki のページ一覧 (cmd=list) を取得
• 一覧の上から順に編集画面を取得し、ページの編集

アクセスログ (249KB) を見る限り、一覧ページから直接編集ページに飛んでいるので、スクリプトで自動化しているっぽい。 いきなり POST しないのは、 hidden パラメータによる SPAM 対策を回避するためかな。

気がついた時点で攻撃は続いているようだったので、まずは PukiWiki の設定を変更して編集できないようにした。この機能は 1.4.5 から追加されていて、結構重宝している。

次にやることは、書き換えられたページを元に戻すこと。 さすがにこれだけのページを手動で戻すのは非現実的なので、自動で戻すことにする（続く）。

■ JavaScript のシェル SpiderMonkey

今回も Ajax の「J」の話。 先月末に、Real-time HTML Editor を使ってリアルタイムに JavaScript を動かす話を書いたけど、いやなブログで紹介されている SpiderMonkey を使うと、シェルのようなインタフェースで JavaScript を動かすことができる。

使い方は Ruby の irb と同じような感じ。 JavaScript 言語の勉強には最適かも。