海外から大量のアクセス攻撃

 contents

  1. 海外から大量のアクセス攻撃 ⇦今ここ
  2. apacheでアクセス制限
  3. ファイヤーウォールで遮断

この間、ふと自分のサイトを見たらやたら、アクセスできるまで時間がかかった。。。
リロードしてもやっぱり重い

ということでサーバのリソースを見てみると・・・・CPU、disk I/O共にいつもよりかなりリソースの消費が激しかった
cpu
disk-io

トラフィック量とかアクセス数とかconohaのコンソールでわかれば一番いいのですが。
cpuとdisk I/Oをみると、disk I/Oのwriteが高いので、アクセスが大量にあり、logの書き込みに負荷がかかっているのかなと思い、apacheのアクセスログを見てみると。。。

191.96.249.54 - - [24/Aug/2016:09:38:56 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:38:56 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:38:56 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:38:56 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:38:58 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:38:58 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:09 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:11 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:11 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:12 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:12 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:14 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:15 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:18 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:19 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:19 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:20 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:20 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [24/Aug/2016:09:39:21 +0900] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

こんなログが大量に出てきました。
攻撃されている感満載ですw

どこから攻撃されてるのかwhoisコマンドで調べてみると

# whois 191.96.249.54
[Querying whois.lacnic.net]
[whois.lacnic.net]

% Joint Whois - whois.lacnic.net
%  This server accepts single ASN, IPv4 or IPv6 queries
 
% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
%  The data below is provided for information purposes
%  and to assist persons in obtaining information about or
%  related to AS and IP numbers registrations
%  By submitting a whois query, you agree to use this data
%  only for lawful purposes.
%  2016-11-01 22:20:18 (BRST -02:00)

inetnum:     191.96.249/24
status:      reallocated
owner:       Dmzhost Limited
ownerid:     SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address:     Francis Rachel Street, , Suite 1, Second Floor
address:      - Victoria - 
country:     SC
phone:       +248 371 23801010 []
owner-c:     CHP23
tech-c:      CHP23
abuse-c:     CHP23
created:     20151217
changed:     20160423
inetnum-up:  191.96/16

nic-hdl:     CHP23
person:      CRS P
e-mail:      abuse@DMZHOST.CO
address:     Suite 4 Second Floor, , 
address:      - Victoria - 
country:     SC
phone:       +248  37123801010 []
created:     20160423
changed:     20160522

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

countryを見るとSCとあります。
国コードなのですが、聞いたことない国なので調べて見たところ・・・「セーシェル」
どこ??

google Mapで調べて見ると
sc

アフリカの東にある海の綺麗そうなところでした。
一見こんなところからって感じですが、踏み台にされているケースもあるかもしれませんね。
とりあえず、攻撃受けているので、ACLでの遮断、さらにサーバのファイヤーウォールで遮断を行います。
 

新着情報

2019年12月23日
iPhone6sからiPhone11 proに替えたら
2019年12月11日
困った!シェルが動かない、そんな時はデバックモードで実行してみよう
2019年12月11日
レル?レッドハット?アールヘル?アールエイチイーエル?どれが一般的?
2019年10月17日
iPhoneのバックアップを外付けHDDへ
2019年10月14日
macのディスク圧迫の原因をターミナルから突き止める
2019年6月1日
【シェルスクリプト】basenameから拡張子無しのファイル名を取り出す
2019年2月5日
findでアスタリスクを使用する場合の注意点
2017年10月26日
updatedbコマンドの頻度と時間
2017年10月26日
locateとupdatedb
2017年10月26日
locateとファイル一覧データベース

ブログランキングに参加しています。クリックして応援していただけると嬉しいです。

人気ブログランキング
ブログランキング・にほんブログ村へ
にほんブログ村

この記事を読んだ方はこんな記事も読まれています。

Default Thumbnailapacheでアクセス制限 Default Thumbnailファイヤーウォールで遮断