サイト不具合続報・・・DoS攻撃受けてたっぽいです(苦笑)

Tech

えーと、昨日の記事の続きというか・・・実は今朝また停止したんですよ、このサイト。で、ちゃんと調べてみたら特定のIPアドレスから大量のアクセスが・・・あ、これってもしかして・・・DoS攻撃?

最近巷を賑わせております「DoS攻撃」ですが、まさかここも食らうとは・・・。

DoS攻撃とはどういうものか、というのはDoS攻撃のWikiに詳しく載ってるので参照いただくとして。

Apacheのアクセスログを見る限りは、特定のアドレスから大量のアクセスがある、という感じです。tailで昨日3:19にローテーションされたアクセスログを見てみると・・・。

# tail access_log-20161113
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:16:40 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:35 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:16 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:28 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:54 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:27 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:32 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:23 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

あーーーーーー。
これ、Wordpressのpingback攻撃ってやつだわ・・・。 
(/xmlrpc.php、ってモロにそれだわ) 

 

今日のアクセスログから改めてこのIPアドレスを拾ってみたら・・・

# cat access_log | grep 191.96.249.80 | awk ‘{print $4}’ | grep “14/Nov/2016” | wc -l
65537

同一IPから6万5千回とか(昨日から始まっているっぽいのは各アクセスログで確認済)。

 

とりあえずこのIPアドレスからのアクセスを拒否するために、以下のように設定。

# iptables -I INPUT -s 191.96.249.80 -j DROP
# /etc/init.d/iptables save
# /etc/init.d/iptables restart 

まぁその後はこのIPアドレスからの攻撃は無く(ってか拒否したから当然なんだけど)。ひとまずpingbackは受け付けない設定にすべての記事を変えて、この攻撃を遮断するプラグインを入れて、今のところは落ち着いております。

とりあえず.htaccessに

<Files “xmlrpc.php”>
order deny,allow
deny from all
</Files>

と入れれば、xmlrpc.phpにアクセスできないようにできるみたいなので、設定しておくとして。ただこれだとMarsEditとかのBlogエディタから更新が出来なくなるんですよねぇ。
ということで、自宅のIPアドレスを設定(Filesタグの中にAllow from <IPaddress>を入れればOK)して、 MarsEditが使えることは確認。iPhoneやiPad Proから更新する(するぷろとかね)のはちょっとむずかしいかな。まぁそのときはそのときで考えるとして(そこまで頻度多く更新してるわけじゃないし)。

 

なんとなく流れで入れてみたWordpressなんだけれど、止まっても影響別に無いとはいえ(アフィリエイト収入なんて「皆無」だしね)他への攻撃の踏み台になっちゃうのはマズイので、もうちょっと気をつけるべきだった・・・と反省しつつ。まぁ引き続き様子見です。

スポンサーリンク

コメント

タイトルとURLをコピーしました