最近、/mailman//subscribe/example-info_example.co.uk にある私の Mailman サブスクリプション ページへの POST リクエストが大量に届くようになり、サーバーの HTTP ログには次のように表示されます。
204.52.107.22 - - [06/Jan/2021:04:07:39 +0000] "POST /mailman//subscribe/example-info_example.co.uk HTTP/1.1" 200 1334 "-" "axios/0.19.2"
その後、メールマンのメーリングリストの購読者リストに載っていないメール アドレスにメールが送信されます。
メーリング リストは、リスト管理者以外の電子メール アドレスからの電子メールを拒否するように設定されています。
したがって、これらのリクエストで何が送信されているのかを知りたいです。これらの POST リクエストの内容を取得するために実行できるコマンドまたはスクリプトはありますか?
答え1
これらは既知の購読ボットで、大量の無実のユーザーを何百ものリストに購読します。私は過去 1 年間で 10,000 以上の IP を収集してブロックしました。実行できる対策としては、クライアント文字列に基づいてブロックするか、フォームデータが購読ページから発信され、formaction に直接アクセスしないようにする新しいバージョンに Mailman インストールをアップグレードします。また、送信元のネットワークから不正メールを検索し、ログの抜粋を添えて苦情を電子メールで送信することを推奨します。これまでのところ、効果はありませんでしたが、これらの攻撃のほとんどはホスティング施設から来ており、Amazon からの攻撃もいくつかありました。十分な数の人々が苦情を申し立てれば、これらのホスティング プロバイダーがこの活動を中止するかもしれません。