GIJIN.NET

ITと音楽の狭間

Tech

サイト不具合続報・・・DoS攻撃受けてたっぽいです(苦笑)

投稿日:

えーと、昨日の記事の続きというか・・・実は今朝また停止したんですよ、このサイト。で、ちゃんと調べてみたら特定のIPアドレスから大量のアクセスが・・・あ、これってもしかして・・・DoS攻撃?

最近巷を賑わせております「DoS攻撃」ですが、まさかここも食らうとは・・・。

DoS攻撃とはどういうものか、というのはDoS攻撃のWikiに詳しく載ってるので参照いただくとして。

Apacheのアクセスログを見る限りは、特定のアドレスから大量のアクセスがある、という感じです。tailで昨日3:19にローテーションされたアクセスログを見てみると・・・。

# tail access_log-20161113
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:16:40 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:35 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:16 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:28 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:54 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:27 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:32 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:23 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.80 – – [13/Nov/2016:03:17:36 +0900] “POST /xmlrpc.php HTTP/1.0” 500 263 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

あーーーーーー。
これ、Wordpressのpingback攻撃ってやつだわ・・・。 
(/xmlrpc.php、ってモロにそれだわ) 

 

今日のアクセスログから改めてこのIPアドレスを拾ってみたら・・・

# cat access_log | grep 191.96.249.80 | awk ‘{print $4}’ | grep “14/Nov/2016” | wc -l
65537

同一IPから6万5千回とか(昨日から始まっているっぽいのは各アクセスログで確認済)。

 

とりあえずこのIPアドレスからのアクセスを拒否するために、以下のように設定。

# iptables -I INPUT -s 191.96.249.80 -j DROP
# /etc/init.d/iptables save
# /etc/init.d/iptables restart 

まぁその後はこのIPアドレスからの攻撃は無く(ってか拒否したから当然なんだけど)。ひとまずpingbackは受け付けない設定にすべての記事を変えて、この攻撃を遮断するプラグインを入れて、今のところは落ち着いております。

とりあえず.htaccessに

<Files “xmlrpc.php”>
order deny,allow
deny from all
</Files>

と入れれば、xmlrpc.phpにアクセスできないようにできるみたいなので、設定しておくとして。ただこれだとMarsEditとかのBlogエディタから更新が出来なくなるんですよねぇ。
ということで、自宅のIPアドレスを設定(Filesタグの中にAllow from <IPaddress>を入れればOK)して、 MarsEditが使えることは確認。iPhoneやiPad Proから更新する(するぷろとかね)のはちょっとむずかしいかな。まぁそのときはそのときで考えるとして(そこまで頻度多く更新してるわけじゃないし)。

 

なんとなく流れで入れてみたWordpressなんだけれど、止まっても影響別に無いとはいえ(アフィリエイト収入なんて「皆無」だしね)他への攻撃の踏み台になっちゃうのはマズイので、もうちょっと気をつけるべきだった・・・と反省しつつ。まぁ引き続き様子見です。

-Tech
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

ようやくhttps化が終わりました

Google Chromeさんあたりが「https化してないサイトはChromeで警告出て見れなくなるかもよ」みたいな通達をしてからもうだいぶ経ち、タイムリミット近い・・・というあたりでようやく対応し …

no image

独自ドメインとかとってみたw

なんかせっかく作ったんだし、ということで、お名前.comで独自ドメインとか取っちゃいましたw ということで、今後は http://gijin.net というアドレスでやってまいりますwww 以前のBl …

no image

作ってみた!

夏休みの宿題にするつもりで積ん読リストに入っちゃってた「Amazon Web Service c基礎からのネットワーク&サーバー構築」に手を出してみた。

MacBook Pro 13inchがやってきた

あれ、気づけばもう9月になってるじゃん! ということでなんとか生きております。

Apacheのチューニング

gijin.netをはじめてから一週間。 最初は遊びで作っていたのですが、なんのかんのでメインBlogになりつつあります。AWSの勉強がてら、という事もあって、あまりWebサーバとかそっちには力を入れ …

2020/09/06

MacBook Pro 13inchがやってきた

あれ、気づけばもう9月になってるじゃん! ということでなんとか生きております。

2020/07/28

在宅勤務の強い味方 Astro MIXAMP と A40

もうすぐ8月、といいつつ、雨が長く続いている今日このごろ。地域によっては豪雨被害に遭われた方もいらっしゃるようで、どうぞ皆様ご安全に・・・。

2020/07/26

ご無沙汰&近況報告

どうも皆様ご無沙汰しております。Blogがすっかり放置気味になっていてすみません。 一応何とか元気でやっております。

2020/02/14

アラフィフになったようで・・・

えーと本日、誕生日を無事に迎えることができました。45歳。うわーアラフィフだー。

2020/01/14

飛行機の中で

長い年末年始が終わり、今日から社会復帰。 先週金曜には出社してるし休み中もなんかいろいろ仕事はしてましたけど、まぁ社会復帰に向けたリハビリのようなものでしたからw

管理人:ぎじん

岩手県出身のアマボエ(アマチュアオーボエ)奏者 ときどき 棒振りになったりする40代♂
震災後に転職、単身東京へ(妻子は盛岡に残してたり)。IT業界の混沌とした流れに身を任せつつ、仕事と趣味の狭間にあるものを書き留めていくとかそんな感じ。
2016年11月
 12345
6789101112
13141516171819
20212223242526
27282930