攻撃的アクセス爆増
欧州連合から猛攻を浴びたサーバですが、やはりろくなモノではなかったということか、その後攻撃的アクセスが爆増しましたorz
その夜から、多IPから↑こんなアクセスが集中しています。
同時刻に多方面から波状攻撃をかけてきますんで、個々ではなく全てが連動して攻撃するようになっているのでしょう。ボットネット…?
ちなみに上記のアクセスは、Zen Cartの脆弱性を狙ったものらしい。
他にもWordPressやらphpMyAdminやらtypo3やらへの攻撃パターンが、面白いようにサンプリング出来てます(^_^;)
アクセス元はこんな感じ。
195.222.17.129 | s1.netiserver.com |
173.231.1.119 | 173-231-1-119.verygoodserver.com |
72.9.40.131 | web01.webhost.donet.com |
184.107.176.242 | server01.booking-business.net |
213.163.85.40 | hosted-by.serverboost.com |
188.165.253.45 | ns215416.ovh.net |
188.165.228.183 | ns213261.ovh.net |
85.214.104.163 | h1838724.stratoserver.net |
217.19.227.22 | 217.19.227.22.static.hosted.by.combell.com |
81.222.215.85 | antar.beget.ru |
212.95.40.107 | 212-95-40-107.local |
72.55.143.243 | cl-t0289-400cl.bloo-media.com |
184.107.64.38 | 184.107.64.38 |
85.120.228.116 | 85.120.228.116 |
91.206.200.173 | d37.ukraine.com.ua |
94.102.11.15 | server15.nt111.datacenter.ni.net.tr |
62.8.88.127 | 62.8.88.127.wananchi.com |
80.233.211.129 | mail.bighost.lv |
139.142.82.171 | wlc-1-171.cablelan.net |
調べてみると、殆どのIPが既に「攻撃的IP」としてリストアップされているみたい。
攻撃的アクセスは当然のように全て403、もしくは404になっているようですが、一方的に殴られ続けるってのもあまり嬉しくないので、ログから自動的に当該IPを抽出して蹴り出す仕掛けを追加。
初撃は通るけど、同一箇所からの反復攻撃を許さないようにしました(fail2ban方式)
ちなみに今週のログから抽出した「複数回に亘って攻撃的アクセスを行って来たアクセス元」=蹴るべき対象は「56箇所」だそうです(^^;;