GIJIN.NET

ITと音楽の狭間

Tech

サイト不具合続報・・・DoS攻撃受けてたっぽいです(苦笑)

投稿日:

えーと、昨日の記事の続きというか・・・実は今朝また停止したんですよ、このサイト。で、ちゃんと調べてみたら特定のIPアドレスから大量のアクセスが・・・あ、これってもしかして・・・DoS攻撃?

最近巷を賑わせております「DoS攻撃」ですが、まさかここも食らうとは・・・。

DoS攻撃とはどういうものか、というのはDoS攻撃のWikiに詳しく載ってるので参照いただくとして。

Apacheのアクセスログを見る限りは、特定のアドレスから大量のアクセスがある、という感じです。tailで昨日3:19にローテーションされたアクセスログを見てみると・・・。

# tail access_log-20161113
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:16:40 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:35 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:16 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:28 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:54 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:27 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:32 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:23 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

あーーーーーー。
これ、Wordpressのpingback攻撃ってやつだわ・・・。 
(/xmlrpc.php、ってモロにそれだわ) 

 

今日のアクセスログから改めてこのIPアドレスを拾ってみたら・・・

# cat access_log | grep 191.96.249.80 | awk ‘{print $4}’ | grep “14/Nov/2016” | wc -l
65537

同一IPから6万5千回とか(昨日から始まっているっぽいのは各アクセスログで確認済)。

 

とりあえずこのIPアドレスからのアクセスを拒否するために、以下のように設定。

# iptables -I INPUT -s 191.96.249.80 -j DROP
# /etc/init.d/iptables save
# /etc/init.d/iptables restart 

まぁその後はこのIPアドレスからの攻撃は無く(ってか拒否したから当然なんだけど)。ひとまずpingbackは受け付けない設定にすべての記事を変えて、この攻撃を遮断するプラグインを入れて、今のところは落ち着いております。

とりあえず.htaccessに

<Files “xmlrpc.php”>
order deny,allow
deny from all
</Files>

と入れれば、xmlrpc.phpにアクセスできないようにできるみたいなので、設定しておくとして。ただこれだとMarsEditとかのBlogエディタから更新が出来なくなるんですよねぇ。
ということで、自宅のIPアドレスを設定(Filesタグの中にAllow from <IPaddress>を入れればOK)して、 MarsEditが使えることは確認。iPhoneやiPad Proから更新する(するぷろとかね)のはちょっとむずかしいかな。まぁそのときはそのときで考えるとして(そこまで頻度多く更新してるわけじゃないし)。

 

なんとなく流れで入れてみたWordpressなんだけれど、止まっても影響別に無いとはいえ(アフィリエイト収入なんて「皆無」だしね)他への攻撃の踏み台になっちゃうのはマズイので、もうちょっと気をつけるべきだった・・・と反省しつつ。まぁ引き続き様子見です。

-Tech
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

ちょっとハマった話

昨日、AWSで作ってみたこのBlogなんだけど、ちょっとハマった事があったのでメモで書いておく。 大きくは二つ。 (1)鍵認証のための鍵をSCPでアップロード出来ない問題 (2)Global IPの変 …

no image

独自ドメインとかとってみたw

なんかせっかく作ったんだし、ということで、お名前.comで独自ドメインとか取っちゃいましたw ということで、今後は http://gijin.net というアドレスでやってまいりますwww 以前のBl …

Apacheチューニング、の訂正というか

いやー、昨日の記事、いろいろツッコミを受けましたw 関連

no image

作ってみた!

夏休みの宿題にするつもりで積ん読リストに入っちゃってた「Amazon Web Service c基礎からのネットワーク&サーバー構築」に手を出してみた。 関連

Apacheのチューニング

gijin.netをはじめてから一週間。 最初は遊びで作っていたのですが、なんのかんのでメインBlogになりつつあります。AWSの勉強がてら、という事もあって、あまりWebサーバとかそっちには力を入れ …

2017/12/14

えびそば一幻って初めてだったけど美味いね

今日は客先直行。 関連

2017/12/13

美味い蕎麦を堪能する

昨日の出張の疲れがなんか微妙に抜けてないような、そんな感じの今日。 オフィスで仕事しつつ、胃腸の調子もあまりよくないというか、全体的にだるい感じだったので、今日は昼に美味い蕎麦を食べたい気分に。 関連

2017/12/12

いつも持ち歩いてるものをまとめてみた

出張ということもあったんですが、考えてみたら出張だろうが帰省だろうが、持ち歩いてるものは大きく変わらないんで、まぁ軽く(備忘録として)まとめておく感じ。2017年12月現在の状況。そのうちまた変わるか …

2017/12/12

飛行機で日帰り出張(ラーメン付き)

今日は日帰り出張。疲れた・・・。 関連

2017/12/11

SNSをまた少しずつ活発に

最近Blogとかのほかに、TwitterとかFacebookとかInstergramとかの活動もちょこちょこ増やしつつある今日このごろ、いかがお過ごしでしょうか。 関連

管理人:ぎじん

岩手県出身のアマボエ(アマチュアオーボエ)奏者 ときどき 棒振りになったりする40代♂
震災後に転職、単身東京へ(妻子は盛岡に残してたり)。IT業界の混沌とした流れに身を任せつつ、仕事と趣味の狭間にあるものを書き留めていくとかそんな感じ。
2016年11月
« 10月   12月 »
 12345
6789101112
13141516171819
20212223242526
27282930