恐怖!ロシアから熱烈ピンバック!!(サーバー攻撃ともいう)
なんともね。
昨日ね。modellax モデルラックスの方が熱烈ピンバックによるサーバー攻撃受けました(・ω<)てへっ☆
いやさ、15日の土曜日の夜辺りからおかしな挙動があったのよね。
やたら重くて503エラーが出たり、MySQLサーバーがダウンしたりさ。
そのときはさくらさんがこの暑さで熱暴走でもしてるのか?と思って日和見。
そんでもとりあえず、設定ファイルとかサーバーの再起動とかやって16日の昼くらいに復旧していた。
そして、迎えた昨日のこと。
なんと所用でSSH接続しようとしたらくっそ重い。
なんでだろうと調べたら、案の定、modellaxおちてるやん。あかんやん。
流石に慌てて、直接VPSの方に行って、apacheのログを見たんだ。
といっても重たいので、挙動が超不安定。
すんでのところでログが出る。
185.188.204.12 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.6 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.9 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.6 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.7 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.8 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.8 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.12 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
なるほど。これがかの有名なWordpressのxmlrpc.phpアタックか。
xmlrpc.phpってピンバックとばしてるやつ。
WordPressそのものを攻撃して乗っ取ろうとしてるか、こいつを経由させてどっかのサイトに大量のDDoS攻撃を仕掛けていたのか・・・目的は分からん。
とりあえず、apacheとMySQLサーバーの自動起動設定を止めた上で、サーバーを再起動して短時間的に作業できる状態にした。
htaccessを使って「xmlrpc.php」にアクセス制限を掛けて、応急処置。
<Files xmlrpc.php> Order allow,deny Deny from all </Files>
とりあえず、これで攻撃でのサーバー負荷そのものは少しだけ減った。
試しにapacheとMySQLサーバーを起動してみると、公開サーバーの状態は一応のところ安定した。
そして、そのまま友人とMHXXをプレイ。
大事なことなので、強調して書きました。
そして、そのまま夕方まで休憩を挟みつつ、装備づくりのお手伝い。
友人が獰猛化モンスターやら銀嶺ガムートに蹴散らされているのを尻目に見ながら夕方までプレイした。
まぁ、xmlrpc.phpのアクセス制限は飽くまで応急処置。
夕方、モンハン終わった後に本格的に作業を再開。あいかわらずサーバーの方はやや重い。
とりあえず、件のIPがどこからのアクセスか調べた。
当初IE7だから中国かな?と予測していたのだが・・・違った。
185.188.204.XX
国 ロシア連邦
所在 モスクワ
地域 モスクワ
おそロシア!!!!海外ってなにそれ怖い。
寒い地域に住んでるから心も冷たいのかな???
お前ら頭が実にクール、ついでに頭皮もクール。(いや、かっこいいハゲの代名詞の某大統領のイメージが強いので・・・)
こちとら夏真っ盛りだよ!俺の頭が熱暴走しそうだわwww
とりあえず、原因はわかっているのでファイアウォールにDoS攻撃関係の対策をさらに強化。
そして、ダメ押しでファイアウォールに「185.188.204.XX」系列のIPを規制をかけた。
|
1
|
–A INPUT –s 185.188.204.0/32 –j DROP
|
とりあえず、これで応急処置を除去。
結果、大量のピンバック垂れ流しは防げました。
よかった・・・のだが、それとは別に実にイラッとすることがあったので、それはこっちの記事に愚痴として書いておく。ああ、前の会社の社長からホリデーコールとかまじでありえん。