迷惑なWebアクセス!
November 28, 2010 – 10:51 am25日から3日間にわたって我がサイトに無原則な連続アクセスがあった。全く迷惑な行為だ。ログを確認してみると、アクセス元は我が国の小規模ソフト会社のようだ。こうした行為、マナー違反ではないかと思ってしまう。いきさつと私のとった対応策をメモしておいた。
頻繁なアクセスを確認: 我がサイト、自宅に設置しているLinuxサーバーで運用している。アクセス数は、Googleなどの検索ロボットからのアクセスを含めても1日あたりのアクセス数は数千程度だ。1分間あたりで数アクセス以内におさまる。
ところがである。昨日、ルーターのインディケータが点滅しつづけていることに気づいた。なにか外部から不正アクセスを受けているのか、あるいは我がサーバーが乗っ取られ「踏み台」にでもされているのではないかと心配した。確かに、ここ2,3日、サーバーの動作が若干重いという印象もあった。
「踏み台」にされていると、我がサーバーを発信源として迷惑をかけているということになる。ログを確認してみると、我がWebサーバーが連続的なアクセスを受けていることを見つけた。
ログの一部は以下のようなもの:
122.217.166.6 - - [27/Nov/2010:15:35:42 +0900] "GET /archives/Post-778.html HTTP/1.1" 200 26719 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:43 +0900] "GET /archives/Post-509.html HTTP/1.1" 200 29081 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:44 +0900] "GET /archives/Post-509.html HTTP/1.1" 200 29081 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:44 +0900] "GET /archives/Post-179.html HTTP/1.1" 200 33916 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:45 +0900] "GET /archives/Post-179.html HTTP/1.1" 200 33916 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:46 +0900] "GET /archives/Post-179.html HTTP/1.1" 200 33916 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:47 +0900] "GET /archives/Post-217.html HTTP/1.1" 200 32696 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:47 +0900] "GET /archives/Post-598.html HTTP/1.1" 200 24642 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:48 +0900] "GET /archives/Post-598.html HTTP/1.1" 200 24642 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:49 +0900] "GET /archives/Post-796.html HTTP/1.1" 200 26106 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:49 +0900] "GET /archives/Post-792.html HTTP/1.1" 200 23859 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:50 +0900] "GET /archives/Post-791.html HTTP/1.1" 200 25209 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:51 +0900] "GET /archives/Post-790.html HTTP/1.1" 200 23409 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:51 +0900] "GET /archives/Post-787.html HTTP/1.1" 200 25633 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:52 +0900] "GET /archives/Post-786.html HTTP/1.1" 200 22966 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:53 +0900] "GET /archives/Post-785.html HTTP/1.1" 200 25548 "-" "iis_web" 122.217.166.6 - - [27/Nov/2010:15:35:53 +0900] "GET /archives/Post-780.html HTTP/1.1" 200 21832 "-" "iis_web"
ログから理解されるように、IPアドレス「122.217.166.6」から、1秒あたり1~2回のアクセスされている。原因はこれだ。ともかく、我がサーバーが世間に迷惑をかけてないことを確認しホッとした。
とりあえずの対策: これをそのままにしておくわけにもいかない。とりあえず、iptablesで、122.217.166.6を弾くことにした。この措置をとると、当然のことながら、ルーターのインディケータの点滅もなくなり、若干遅くなっていたサーバーの動作も軽くなった。やれやれといったところだ。
もっと利口な対策についてはゆっくり考えることにした。Apacheの設定で、この類の迷惑行為を除去することが可能ではないか、と思う。
迷惑行為をしているのは誰だ!: IPアドレス「122.217.166.6」についてJPNICで調べてみた(逆引きしてみた)。該当するアドレスは小さなソフト会社がUCOMから取得しているもののようだ。
興味のあるかたは、JPNICの登録情報を確認してみるとよい。私は、これ以上の深入りはよすことにした。
このソフト会社のサーバーが乗っ取られたのか、あるいはなんらかのツールのテストをしているのか、は分からない。いづれにしろきちんとした管理をしてほしいものだ。