台灣棒球維基館

　　本頁面旨在記錄台灣棒球維基館於2006/3/24起至4/3日止發生IP用戶少量破壞頁面、遭受軟體機器人大舉攻擊、暫時閉館、重新開館、限制編輯與註冊、裝設防護軟體、完成程式修改、重新開放編輯與註冊的一連串事件，一來做為本館重要記錄與經驗傳承，二來可做為相關Wiki網站往後遭遇相同問題時的參考。

[編輯] 事件始末

附圖：03.25遭攻擊時的畫面

　　3/24中午12點多系統管理員發現陸續有匿名IP破壞頁面，約每隔一個多小時發生一次，於是在編輯討論區發起以「怪客IP」為主題的討論；3/24~3/25使用者陸續熱烈討論此一事件並合力恢復遭破壞的頁面，也有使用者建議可至維基百科求助；3/25系統管理員至維基百科詢問解決之道，有回應稱可安裝Captcha軟體（例如：AuthImage）； 3/25晚上系統管理員開始著手裝設此一防護軟體，尚未完成前，晚上10點左右軟體機器人便發動大舉攻擊，數秒內創建大量新頁面；系統管理員決定在第一時間先關閉網站，使損失降至最低；3/26 10:20重新開館，採取暫時只對管理員開放編輯和暫停使用者註冊新帳號的緊急因應措施；3/27~4/1持續安裝、修改、測試防護軟體；4/2終於成功完成程式修改，晚間再度開放一般用戶編輯；4/3凌晨完成重新開放IP用戶註冊新帳號的功能。

　　依據推測，本館此次事件可能是從2/24開始就被鎖定為攻擊目標了，因為2/25晚上大舉攻擊發生的時間是系統管理員正在安裝防範Robot大舉入侵的軟體，程式尚未改好還無法正常運作之際，有使用者反應無法存檔，系統管理員向使用者說明原委後，大量攻擊事件就發生了。所以2/24一開始應該是人為少量攻擊，等到2/25發現本館在進行防範措施了，便發動Robot大舉進攻。

[編輯] 大事記

• 03.24：中午12點多開始陸續產生匿名IP破壞頁面，約每隔一小時多發生一次；
• 03.24~3.25：管理員與使用者陸續在編輯討論區討論「怪客IP」事件；並合力恢復遭破壞頁面；
• 03.25：至維基百科求助，有回應稱可安裝Captcha軟體（例如：AuthImage）；
• 03.25：晚上開始試著安裝防止軟體機器人大舉入侵的軟體AuthImage；在軟體程式尚未完成前，晚上10點多便發生軟體機器人大舉攻擊事件，數秒內創建大量新頁面。系統管理員決定在第一時間先關閉網站，使損失降至最低。
• 03.26：10:20重新開館。採取緊急因應措施：(1)「編輯」功能暫時只對管理員開放；(2)使用者建立新帳號功能暫停。
• 03.27：持續安裝測試 Captcha 防護軟體--AuthImage，但未成功。
• 03.29~03.31：在另一部主機（EasyPHP版本）上測試AuthImage，修改程式後可成功；但在本機照做卻失敗，懷疑可能GD Library版本不符。
• 04.01：確認GD Library應屬正常。
• 04.02：下午持續追蹤AuthImage程式問題，終於成功完成；晚間再度開放一般用戶編輯。
• 04.02：全館總點閱數突破500萬次。
• 04.03：重新開放IP用戶註冊新帳號功能。

[編輯] 附錄1：編輯討論區討論與回應

[編輯] 怪客IP

• 下午有個匿名用戶，一直在亂改TwBsBall:哈拉留言版，幾次都被我恢復，我看他的IP是變動的，所以沒有PO警告訊息，也沒封鎖他。請大家幫忙留意一下。--台灣阿成(Talk) 15:14 2006年3月24日

[編輯] 回應

• 他似乎在試語法，他也沒動編輯頁面，暫且不理他好了--Archi(Talk) 16:16 2006年3月24日
• 其實有動，有興趣可以到歷史頁面看看：(1)他是把頁面複製貼上，整頁內容重複變成兩份（隨便點一個他改的版本進去，看目次就知道了，原來只有14項，變成28項）；(2)另外目次前那一段文字裡的特殊符號都變成代碼了。我覺得這有可能是一支破壞程式自動在執行，因為有規律，每隔大約1個多小時會來一次，而且每次IP都不同。 --台灣阿成(Talk) 17:42 2006年3月24日
• 如果不是自動執行的破壞程式，那這位老兄也未免太閒了，到處換IP，每隔一小時來一次，敗給他了。 --台灣阿成(Talk) 17:48 2006年3月24日
• 對了，有人知道這幾個IP是從哪兒來的嗎？ --台灣阿成(Talk) 17:48 2006年3月24日
• 「71.197.100.189」來自美國，「61.243.34.102」來自貴州省安順市，「24.3.157.86」來自美國「24.126.165.80」也來自於美國，「193.213.114.98」來自於挪威，懷疑是對岸網有跳轉世界各地的IP的某種測試或者攻擊。--子毓貓(Talk) 19:42, 24 3月 2006
• 真是越來越精采了......除了破壞語法以外，現在還多了新建空白頁面以及張貼賭場廣告的。儘管新建空白頁面沒什麼影響，不過IP來源實在是太奇怪了。另外張貼賭場外部連結的就真的太扯了。　－　櫻華亂舞(Talk) 07:02 2006年3月25日
• 而且封鎖這些IP基本上完全沒用的，他一個IP大概只用一次。--子毓貓(Talk) 10:56, 25 3月 2006
• 202.41.167.246來自泰國；203.199.106.24來自印度；222.228.173.153來自日本；210.229.150.130；210.229.150.130也來自日本；61.11.88.22來自印度；66.226.73.2來自美國加州；24.3.240.128來自加拿大；209.174.235.100來自加拿大；125.16.129.243來自印度。看來都是跳轉別的機器來的，阿成要不要請教看看其他的維基計畫如何防止這部份的攻擊，另外，有用戶在Ptt問了有關Firefox瀏覽器的問題。--子毓貓(Talk) 11:06, 25 3月 2006
  • 感謝貓兄的建議，我會去問問看，也懇請大家透過各種管道，請教高手如何解決這個問題？ --台灣阿成(Talk) 11:23 2006年3月25日
• 如果是個「人」還比較好應付，他總有累的時候；但如果是隻專搞破壞的「駭客程式」就麻煩了（上週才和Yarachen、Kaoru討論到會不會有一天有專門破壞Wiki的駭客軟體呢）。現在敵情不明，只能靠大家一起動員來防範了。 --台灣阿成(Talk) 11:13 2006年3月25日
• 又創了一個空白頁面了，阿成快去刪除吧！>.<--子毓貓(Talk) 11:27, 25 3月 2006
  • 是貝克B.G嗎？Dancingsakura 有補上內容了！ --台灣阿成(Talk) 11:58 2006年3月25日
• 我已在維基百科互助客棧提出求助，希望能得到高人指點。（因我下午不在線上，各位有在線上的可點上面那個網址進去看看有沒有人回應，謝謝） --台灣阿成(Talk) 12:28 2006年3月25日
• 下午16:55左右又發現有IP將廣告po在Talk:職棒球員點將錄上,但是子毓貓兄馬上將其修改回來,而隨後Archi兄將該頁面整個刪除,我要說的是,是不是應該將被破壞的頁面刪除,亦或是將其恢復就好,我個人是覺得,如果整個刪除就會分不清楚破壞者的類型,因為整個歷史紀錄似乎都不見了,如果先將頁面回復,我們還可以知道來做破壞的人是不是同一個人,或是根本是軟體機器人搞的鬼，不知大家覺得如何。--Redhair(Talk) 17:24 2006年3月25日
• 這個「惡客」從昨天開始已經持續破壞兩天了，其實阿吉兄做的沒錯，因為那是新創的頁面，原來是沒有內容的，刪除只是回復到被破壞前的狀態。以下是我追蹤的破壞紀錄，看起來今天和昨天最大的不同是今天變本加厲遊走在不同頁面，連原本不存在的IP Talk頁都不放過：User talk:218.161.118.133 <-- 這一頁我並未刪除或回復，大家可以點進去看，今天植入的廣告網址都是「隱藏的」，表面上看不到，要點「編輯」進去，再把畫面往下拉才看得到，很容易騙過檢查者的眼睛。這應該是高手所為，不然不會採這種「置入性行銷」手法。 --台灣阿成(Talk) 19:09 2006年3月25日

[編輯] 附件：破壞紀錄

3/24只破壞「哈拉留言版」，3/25起開始遊走不同頁面，我把到目前為止被「染指」過的頁面整理了一下（持續追蹤）：--台灣阿成(Talk) 12:03 2006年3月25日

• 2006年3月25日
  • (差異) (歷史) . . 新 ! User talk:218.161.118.133; 18:11 . . 221.186.137.64 (Talk | 禁封)
  • (差異) (歷史) . . ! 查理C.P; 17:50 . . 200.109.237.180 (Talk | 禁封)
  • (差異) (歷史) . . ! 福斯特; 15:41 . . 86.2.228.164 (Talk | 禁封)
  • (差異) (歷史) . . ! 奧運棒球國手點將錄; 14:11 . . 200.118.2.219 (Talk | 禁封)
  • (差異) (歷史) . . ! 職棒時期的台灣棒球（1990年代~現在）; 12:11 . . 82.235.165.126 (Talk | 禁封)
  • (差異) (歷史) . . 新 ! 貝克B.G; 11:18 . . 68.195.21.9 (Talk | 禁封)
  • (差異) (歷史) . . ! 三級棒運時期的台灣棒球（1960年代~1980年代）; 10:53 . . 125.16.129.243 (Talk | 禁封)
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 10:12 . . 202.41.167.246 (Talk | 禁封)
  • (差異) (歷史) . . ! 職棒球員點將錄; 10:00 . . 203.199.106.24 (Talk | 禁封)
  • (差異) (歷史) . . ! 李麥克D.H; 06:53 . . 210.229.150.130 (Talk | 禁封)
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 06:39 . . 61.11.88.22 (Talk | 禁封) (")
  • (差異) (歷史) . . ! 棒球書籍; 06:04 . . 66.226.73.2 (Talk | 禁封)
  • (差異) (歷史) . . 新 羅吉甫; 04:58 . . 24.3.240.128 (Talk | 禁封)
  • (差異) (歷史) . . 新 中井伸之; 03:54 . . 209.174.235.100 (Talk | 禁封)
• 2006年3月24日
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 18:25 . . 193.213.114.98 (Talk | 禁封) (")
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 17:15 . . 71.197.100.189 (Talk | 禁封) (")
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 15:59 . . 193.213.114.98 (Talk | 禁封) (")
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 14:47 . . 61.243.34.102 (Talk | 禁封) (")
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 13:37 . . 24.3.157.86 (Talk | 禁封) (")
  • (差異) (歷史) . . ! TwBsBall:哈拉留言版; 12:22 . . 24.126.165.80 (Talk | 禁封) (")

[編輯] 附錄2：維基百科求助留言與回應

[編輯] 求助：浮動IP破壞頁面

大家好，我來自[台灣棒球維基館 http://twbsball.dils.tku.edu.tw]（也是一個採用Mediawiki的開放系統），這一兩天系統遭受來自匿名IP對頁面進行破壞，但來源IP是不斷變動的，每個IP都只用一次，因此對IP進行封鎖並無濟於事，不知維基百科是否有過類似狀況？如何因應？敬請高人指點，感謝各位。（附上用戶追蹤的惡意IP） --台灣阿成 04:21 2006年3月25日 (UTC)

• 「71.197.100.189」來自美國，「61.243.34.102」來自貴州省安順市，「24.3.157.86」來自美國「24.126.165.80」也來自於美國，「193.213.114.98」來自於挪威，202.41.167.246來自泰國；203.199.106.24來自印度；222.228.173.153來自日本；210.229.150.130；210.229.150.130也來自日本；61.11.88.22來自印度；66.226.73.2來自美國加州；24.3.240.128來自加拿大；209.174.235.100來自加拿大；125.16.129.243來自印度。

[編輯] 回應

• 應該MediaWiki軟件可以對某個IP段進行封鎖，而不只是一個IP。--Shinjiman 05:07 2006年3月25日 (UTC)

比較麻煩的是他的IP來源並不固定，也沒有固定的區段可循。--子毓貓 09:05 2006年3月25日 (UTC)

• 另外再請教一下，如果是軟體機器人的話，有無方法可以阻止，因為該頁面的破壞行為似乎是有固定時間及模式的，所以懷疑是軟體機器人。--紅毛 10:20 2006年3月25日 (UTC)

想問一下破壤者是針對條目，還是不斷地重覆註冊？如果是針對條目，可考慮對頁面進行保護；如果有軟件機器人不斷進行註冊的話，便要安裝Captcha附件以解決問題。[1]--Shinjiman 10:35 2006年3月25日 (UTC)

• 沒有重複註冊，也未針對單一條目，而是隨機挑選條目植入廣告網址。 --台灣阿成 10:42 2006年3月25日 (UTC)

Captcha套件的另一個功能，就是如果有條目加入外部連結，便需要再度確認。這對防止利用機器人方式的修改是有用的。--Shinjiman 11:45 2006年3月25日 (UTC)

• 感謝各位協助，就在我們正在安裝軟體，尚未完成之時，對方已於3/25晚間10時左右發動軟體機器人大舉攻擊，當晚為減少損失暫時關閉網站，經過一夜的修復，已於隔日2/26早上10:20左右重新開張。 --台灣阿成 00:53 2006年3月27日 (UTC)

可以使用Spam_blacklist---百無一用是書生 01:16 2006年3月27日 (UTC)

如果破壞者是增加在Spam blacklist以外的連結，那又怎麼處理？--Shinjiman 01:38 2006年3月27日 (UTC)

• 台灣阿成，我认为遇到这种情况，并不一定要关闭网站，这样造成的损失比较大。比较经济的办法可能是：1、暂时禁止IP用户编辑；2、如果他/她不停的注册，则暂时禁止新用户注册，并对注册用户进行监控和相应封锁。-无名无形 11:51:21 2006年3月29日 (UTC)
• 關閉網站只是暫時的，關站數小時修復並完成限定IP用戶編輯和暫停註冊功能後已經重新開放。謝謝各位。現在在裝Captcha套件（AuthImage）但一直有問題裝不起來，所以暫時只有管理員能編輯，要等到防護軟體裝好後才能再開放編輯和註冊。但是我看維基百科好像沒裝這套件，是如何防範機器人攻擊和大量註冊的呢？ --台灣阿成 16:14 2006年3月30日 (UTC)