GIJIN.NET

ITと音楽の狭間

Tech

サイト不具合続報・・・DoS攻撃受けてたっぽいです(苦笑)

投稿日:

えーと、昨日の記事の続きというか・・・実は今朝また停止したんですよ、このサイト。で、ちゃんと調べてみたら特定のIPアドレスから大量のアクセスが・・・あ、これってもしかして・・・DoS攻撃?

最近巷を賑わせております「DoS攻撃」ですが、まさかここも食らうとは・・・。

DoS攻撃とはどういうものか、というのはDoS攻撃のWikiに詳しく載ってるので参照いただくとして。

Apacheのアクセスログを見る限りは、特定のアドレスから大量のアクセスがある、という感じです。tailで昨日3:19にローテーションされたアクセスログを見てみると・・・。

# tail access_log-20161113
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:16:40 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:35 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:16 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:28 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:54 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:27 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:32 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:23 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

あーーーーーー。
これ、Wordpressのpingback攻撃ってやつだわ・・・。 
(/xmlrpc.php、ってモロにそれだわ) 

 

今日のアクセスログから改めてこのIPアドレスを拾ってみたら・・・

# cat access_log | grep 191.96.249.80 | awk ‘{print $4}’ | grep “14/Nov/2016” | wc -l
65537

同一IPから6万5千回とか(昨日から始まっているっぽいのは各アクセスログで確認済)。

 

とりあえずこのIPアドレスからのアクセスを拒否するために、以下のように設定。

# iptables -I INPUT -s 191.96.249.80 -j DROP
# /etc/init.d/iptables save
# /etc/init.d/iptables restart 

まぁその後はこのIPアドレスからの攻撃は無く(ってか拒否したから当然なんだけど)。ひとまずpingbackは受け付けない設定にすべての記事を変えて、この攻撃を遮断するプラグインを入れて、今のところは落ち着いております。

とりあえず.htaccessに

<Files “xmlrpc.php”>
order deny,allow
deny from all
</Files>

と入れれば、xmlrpc.phpにアクセスできないようにできるみたいなので、設定しておくとして。ただこれだとMarsEditとかのBlogエディタから更新が出来なくなるんですよねぇ。
ということで、自宅のIPアドレスを設定(Filesタグの中にAllow from <IPaddress>を入れればOK)して、 MarsEditが使えることは確認。iPhoneやiPad Proから更新する(するぷろとかね)のはちょっとむずかしいかな。まぁそのときはそのときで考えるとして(そこまで頻度多く更新してるわけじゃないし)。

 

なんとなく流れで入れてみたWordpressなんだけれど、止まっても影響別に無いとはいえ(アフィリエイト収入なんて「皆無」だしね)他への攻撃の踏み台になっちゃうのはマズイので、もうちょっと気をつけるべきだった・・・と反省しつつ。まぁ引き続き様子見です。

-Tech
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

no image

ちょっとハマった話

昨日、AWSで作ってみたこのBlogなんだけど、ちょっとハマった事があったのでメモで書いておく。 大きくは二つ。 (1)鍵認証のための鍵をSCPでアップロード出来ない問題 (2)Global IPの変 …

Apacheチューニング、の訂正というか

いやー、昨日の記事、いろいろツッコミを受けましたw

Apacheのチューニング

gijin.netをはじめてから一週間。 最初は遊びで作っていたのですが、なんのかんのでメインBlogになりつつあります。AWSの勉強がてら、という事もあって、あまりWebサーバとかそっちには力を入れ …

no image

独自ドメインとかとってみたw

なんかせっかく作ったんだし、ということで、お名前.comで独自ドメインとか取っちゃいましたw ということで、今後は http://gijin.net というアドレスでやってまいりますwww 以前のBl …

ようやくhttps化が終わりました

Google Chromeさんあたりが「https化してないサイトはChromeで警告出て見れなくなるかもよ」みたいな通達をしてからもうだいぶ経ち、タイムリミット近い・・・というあたりでようやく対応し …

2023/12/31

またまた一年ぶりの更新・・・2023年もお世話になりました

なんかもう一年に一回とかしか更新しなくなってきたな・・・良くないな・・・。

2022/12/31

え?一年更新してなかった?というわけで今年もお世話になりました

前回の更新が昨年の大晦日ですか・・・。 Blogを更新しようという気力が湧かなかったこともあり、一年放置してしまいました。

2021/12/31

2021年振り返り(いろんな「モノ」編)

あれ?もう2021年終わり?今年のBlog記事、いくつ出したっけ?

2021/10/13

10年ひとむかし

前回が2月?そんなに書いてなかったっけ? ということで、気付けば2021年も残り3ヶ月切ったとかマジですか。

2021/02/17

そしてRazerへ・・・〜Razer BlackWidow Lite〜

昨日、あんな話題を書いておきながら、今日使っているキーボードは違ってたりしますが何か。

管理人:ぎじん

岩手県出身のアマボエ(アマチュアオーボエ)奏者 ときどき 棒振りになったりする40代♂
震災後に転職、単身東京(妻子は盛岡に残してた)だったんだけど一時的に盛岡に戻ってきてたり。IT業界の混沌とした流れに身を任せつつ、仕事と趣味の狭間にあるものを書き留めていくとかそんな感じ。
2016年11月
 12345
6789101112
13141516171819
20212223242526
27282930