海外から大量のアクセス攻撃

 contents

  1. 海外から大量のアクセス攻撃 ⇦今ここ
  2. apacheでアクセス制限
  3. ファイヤーウォールで遮断

この間、ふと自分のサイトを見たらやたら、アクセスできるまで時間がかかった。。。
リロードしてもやっぱり重い

ということでサーバのリソースを見てみると・・・・CPU、disk I/O共にいつもよりかなりリソースの消費が激しかった
cpu
disk-io

トラフィック量とかアクセス数とかconohaのコンソールでわかれば一番いいのですが。
cpuとdisk I/Oをみると、disk I/Oのwriteが高いので、アクセスが大量にあり、logの書き込みに負荷がかかっているのかなと思い、apacheのアクセスログを見てみると。。。

191.96.249.54 – – [24/Aug/2016:09:38:56 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:38:56 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:38:56 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:38:56 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:38:58 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:38:58 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:09 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:11 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:11 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:12 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:12 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:14 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:15 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:18 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:19 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:19 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:20 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:20 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
191.96.249.54 – – [24/Aug/2016:09:39:21 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

こんなログが大量に出てきました。
攻撃されている感満載ですw

どこから攻撃されてるのかwhoisコマンドで調べてみると

whois 191.96.249.54
[Querying whois.lacnic.net] [whois.lacnic.net]

% Joint Whois – whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net

% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2016-11-01 22:20:18 (BRST -02:00)

inetnum: 191.96.249/24
status: reallocated
owner: Dmzhost Limited
ownerid: SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address: Francis Rachel Street, , Suite 1, Second Floor
address: – Victoria –
country: SC
phone: +248 371 23801010 [] owner-c: CHP23
tech-c: CHP23
abuse-c: CHP23
created: 20151217
changed: 20160423
inetnum-up: 191.96/16

nic-hdl: CHP23
person: CRS P
e-mail: abuse@DMZHOST.CO
address: Suite 4 Second Floor, ,
address: – Victoria –
country: SC
phone: +248 37123801010 [] created: 20160423
changed: 20160522

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

countryを見るとSCとあります。
国コードなのですが、聞いたことない国なので調べて見たところ・・・「セーシェル」
どこ??

google Mapで調べて見ると
sc

アフリカの東にある海の綺麗そうなところでした。
一見こんなところからって感じですが、踏み台にされているケースもあるかもしれませんね。
とりあえず、攻撃受けているので、ACLでの遮断、さらにサーバのファイヤーウォールで遮断を行います。
 

ブログランキングに参加しています。クリックして応援していただけると嬉しいです。

人気ブログランキング
ブログランキング・にほんブログ村へ
にほんブログ村