【アタック】Apacheのアクセスログをみて思う事


アクセスログをみているとい、思う事がある。
何を思うか!?

それは、普段一般普通に自己管理するサーバを持たない限り
システムが吐くログは見れないということである。

下記実際のアクセスログである。

アタックを仕掛けてきた・もしくは使用PCがウイルスに感染されているか!?
まあ、そんな所ですが、全くないURLに対して決め打ちでアクセスしてきている。
システムはもちろん、404を返すが・・・。

よく見ると、PCの環境がなんと!!Windows98でIEv6を使っている。
今はWindowsだと8だし10が出るとか出ないとか言われている状況で
何十年前のOSを使って、Web界の海原を旅しているんだろうか!?
セキュリティに対して、リテラシーが非常に欠落している証拠である。

27.159.211.141 – – [08/Dec/2014:10:56:21 +0900] “GET
/admin/fckeditor/editor/filemanager/browser/default/connectors/test.html
HTTP/1.0″ 404 9332 “http://blog.hogehoge.com/admin/fckeditor/editor/file
manager/browser/default/connectors/test.html” “Mozilla/4.0 (compatible;
MSIE 6.0; Windows 98; Win 9x 4.90)”

○接続元をちょっと調べてみようと思う
IPアドレス 27.159.211.141
ホスト名 141.211.159.27.broad.xm.fj.dynamic.163data.com.cn
IPアドレス割当国 中国 ( cn )

○このあたりの会社が管理しているネットワークである。
inetnum: 27.152.0.0 – 27.159.255.255
netname: CHINANET-FJ
descr: CHINANET FUJIAN PROVINCE NETWORK
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032

○対応
できるだけオープンでありたいとおもうが、あまりにもひどいと
特定の地域・プロバイダーのくくりでIPをネットワークマスクで接続できない措置を行います。
27.152.0.0/10 で拒否すると、このあたりのプロバイダを含め
4194304 (ホストアドレス数:4194302)数が拒否されることになります。

このあたりで良いだろうか?
カントリーで縛るなら下記を流してiptablesにsaveして再起動書ければいいかな。
かなり時間がかかるけど、さっくり設定を入れました。

ZONE_FILE_URL=”http://www.ipdeny.com/ipblocks/data/countries”
for IP in $(wget -O – ${ZONE_FILE_URL}/{cn,tw,kr,ru}.zone | grep -v “^#|^$” )
do
iptables -A INPUT -s $IP -j DROP
done

これで、中国・台湾・北朝鮮・ロシアからは今日時点では接続できません。
明日以降に追加になったIPは接続できるので
適当に影響の具合をみて判断しようと思います。


PVアクセスランキング にほんブログ村

Related posts