我がWebサーバーが「攻撃」されたようだ!
September 24, 2009 – 4:34 pm一週間ほど前に「POP3への辞書攻撃と我が対策」を書いた。今度は、Webサーバーに対し、「攻撃」・「アタック」らしきものが認められた。このWebサーバーを立ち上げて、ほぼ2年が経過するが、今回のような「アタック」を受けたのは初めてだ。これといった被害はなかったが、今回の経験をメモしておくことにした。
何が起きたのか?: このWebサイトへのアクセス状況については、自動的に、Host Nameとアクセス時間が記録されている。この仕組み、「Webアクセス解析ツール、ひとまず完成」に書いたことがある。この「アクセス解析ツール」で、昨晩10時前後に、大量のアクセスがあることを見つけた。
我がWebサイトへのアクセスは、普通、1日200アクセス前後だ。ところが、昨晩、10分間程度の間に300ものアクセスが記録されていた。アクセスは、単独のhostからではなく、様々な国からの複数のhostからのものだった。いわゆる「ボト」ってやつかもしれない。
以下に示すのは、アクセス源の一部、数分間で我がサイトにアクセスしたhost名:
82.198.0.180.satgate.net dum52.internetdsl.tpnet.pl ep.tgix.com 207.47.9.4.static.nextweb.net 69-92-42-52.cpe.cableone.net 189-74-17-205.bsace702.e.brasiltelecom.net.br 149.141.207-77.rev.gaoland.net 93-127-35-195.static.vega-ua.net somehost254.bluecoat.com oabs7.uta.edu s69-163-38-162.in-addr.arpa.static.dsn1.net cech.uc.edu 174-143-252-53.static.cloud-ips.com 58.16.7.49 193.171.32.6 119.27.62.254 203.121.27.222 173-12-155-29-northgulf.hfc.comcastbusiness.net 82.198.27.2.satgate.net cockpit-dev.f4.htw-berlin.de 201.218.238.82 121.253.57.148 121.241.48.203.static-hyderabad.vsnl.net.in
いろいろな国からアクセスがあったことがわかる。
さらに、今朝のlogwatch(以下に示す)では、こうしたアクセスのほかに、かなりの数の「不正なアクセス」があったことも認められた:
--------------------- httpd Begin ------------------------
Requests with error response codes
403 Forbidden
/: 4 Time(s)
/archives/: 330 Time(s)
http://www.yahoo.com/: 1 Time(s)
404 Not Found
/archives/Post-362.html/comment-page-1#comment-203: 2 Time(s)
/archives/Post-363.html/comment-page-1#comment-202: 3 Time(s)
/archives/Post-365.html/comment-page-1#comment-201: 2 Time(s)
/archives/Post-366.html/comment-page-1#comment-200: 3 Time(s)
/archives/Post-367.html/comment-page-1#comment-204: 2 Time(s)
/archives/Post-368.html/comment-page-1#comment-199: 2 Time(s)
/archives/Post-category/: 1 Time(s)
/favicon.gif: 3 Time(s)
/favicon.ico: 144 Time(s)
/robots.txt: 2 Time(s)
/wp-content/uploads/2009/08/\xe4%20%20\xe6 ... c%20%20\x88.gif: 1 Time(s)
/wp-content/uploads/2009/08/\xe4%20%20\xe6 ... xe8\xbe\xba.gif: 1 Time(s)
/wp-content/uploads/2009/08/\xe6%20\xb8%20 ... bc%20%20%20.gif: 1 Time(s)
405 Method Not Allowed
/wp-comments-post.php: 327 Time(s)
---------------------- httpd End -------------------------
何者かが、世界中の複数のPCを踏み台に、我がWebサイトに対し、「攻撃」を仕掛けてきたようだ。
こうした攻撃への対策は?: 我がサーバー、うえにも記したように、1日の(ユニーク)アクセス数が200程度の弱小の独立系サイト(自宅にサーバーを設置したサイト)だ。こんな弱小サイトでさえ、「攻撃」の標的にされるというのだから、規模が小さいからといって油断することはできない。
こうした「攻撃」に対して、なんらかの対策をとらねばと思い、いろいろ考えてみた。だが、名案は浮かばない。iptablesで特定のIPを弾いても、この種の「攻撃」には、何の効果もない。Webサイトを公開する限り、こうした「攻撃」を避ける方策はないように思ってしまう。
もし、対策をとろうとするなら、かなりSophistcateなアクセスコントロールメカニズムを持ち込むことになると思う。我がサーバーのような弱小サイトにおいて、こうしたメカニズムを活用するというのは現実的なことではない。
唯一、私に、できることは、「アタックの嵐の終わるのを耐える」こと、そして常日頃Apacheのメンテナンスをきちんとし、不正な侵入を許さないように努力をするといったところなのではないだろうか。
ところで、このWebサイトでは、商用のアクセス解析ツール(SiteMeterとeXTReMe Tracking)も使って、アクセス状況をチェックしている。面白いことに、このふたつの商用のアクセス解析ツールでは、自作の「Webアクセス解析ツール」で拾っていた「不正アクセス」が記録されていない。こうした商用アクセス解析ツール、なんらかのフィルターをかける術を持っているということのようだ。
こうしたフィルタリングの手段があるということになると、この種の「不正アクセス」を識別でき、なんらかの対策もとれるのではないかと思われる。
まだまだ、私、学習がたらない。勉強勉強といったところだ。
誰か、名案のあるかたがいたら、是非、教えて欲しいものだ。
1 Trackback(s)