Sunday, January 20, 2008

たいへんお行儀の悪いMJ12botとは?

スポンサードリンク

先日のエントリ「さくらのレンタルサーバーで503」で掲載したグラフで、急にアクセスが多くなっているところがあります。再掲しますと、下記のグラフです。

a traffic cused by majestic 12 virus

図1. 1月15日に妙なピークが

ログを確認すると、「MJ12bot/v1.0.8 (http://majestic12.co.uk/bot.php?+)」というボットが15日に15070 Hitsしてきています。朝の9時にアクセスし始めて、夜の9時に終わっていますから12時間で15000Hitsです。15000/12/60=20、つまり1分間に20Hits、3秒に1リクエストです。すごすぎ。

http://majestic12.co.uk/をみると、majestic12はSETI@homeの技術を応用した分散コンピューティングによる検索エンジンらしくて、 いろんなチームが処理結果を競っています。それでめちゃくちゃアクセスしてくるのかー、とおもったのですが...majestic12のbotの説明書をみてみると、

Fake MJ12bot v1.0.8 (virus based botnet)

どうも去年の10月ぐらいから、ウイルスによって拡大するニセモノのMJ12botが跋扈しているようで ^^;; ちなみにホンモノのボットの最新版はv1.2.1らしいです。majestic12のなかのひともたいへんですね。よくよく調べてみると、ホンモノのMJ12bot (v1.2.1でした)もときどきアクセスにきているようです。そっちは大変お行儀がよく、4, 5ページクロールしたらすぐいなくなってるようでした。

今回やってきたウイルスのにせMJ12botは、なにもしなくても12時間ちょっとでいなくなりましたが、とりあえずブロックしておきました。ブロックの方法は「.htaccess」に下記のように書きます。

order allow,deny
allow from all
# reject fake mj12
SetEnvIfNoCase User-Agent "^MJ12bot/v?1\.[01]\.[0-9]{1,2}" block
Deny from env=block

まあ、こんかいの503病はこれが原因ではなさそうですが、みょーなのがやってきて遅くなったらいやだしね。

参考文献

  1. MJ12bot, Majestic 12 Distributed Search Engine, 2007

No comments: