恐怖!ロシアから熱烈ピンバック!!(サーバー攻撃ともいう)

なんともね。

昨日ね。modellax モデルラックスの方が熱烈ピンバックによるサーバー攻撃受けました(・ω<)てへっ☆

 

いやさ、15日の土曜日の夜辺りからおかしな挙動があったのよね。

やたら重くて503エラーが出たり、MySQLサーバーがダウンしたりさ。

 

そのときはさくらさんがこの暑さで熱暴走でもしてるのか?と思って日和見。

そんでもとりあえず、設定ファイルとかサーバーの再起動とかやって16日の昼くらいに復旧していた。

 

そして、迎えた昨日のこと。

なんと所用でSSH接続しようとしたらくっそ重い。

なんでだろうと調べたら、案の定、modellaxおちてるやん。あかんやん。

 

流石に慌てて、直接VPSの方に行って、apacheのログを見たんだ。

といっても重たいので、挙動が超不安定。

 

すんでのところでログが出る。

185.188.204.12 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.6 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.9 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.6 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.7 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.8 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.8 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
185.188.204.12 – – [23/Jul/2017:06:36:08 +0900] “POST /xmlrpc.php HTTP/1.0” 200 – “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

なるほど。これがかの有名なWordpressのxmlrpc.phpアタックか。

xmlrpc.phpってピンバックとばしてるやつ。

WordPressそのものを攻撃して乗っ取ろうとしてるか、こいつを経由させてどっかのサイトに大量のDDoS攻撃を仕掛けていたのか・・・目的は分からん。

 

とりあえず、apacheとMySQLサーバーの自動起動設定を止めた上で、サーバーを再起動して短時間的に作業できる状態にした。

htaccessを使って「xmlrpc.php」にアクセス制限を掛けて、応急処置。

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

とりあえず、これで攻撃でのサーバー負荷そのものは少しだけ減った。

試しにapacheとMySQLサーバーを起動してみると、公開サーバーの状態は一応のところ安定した。

 

 

そして、そのまま友人とMHXXをプレイ。

大事なことなので、強調して書きました。

そして、そのまま夕方まで休憩を挟みつつ、装備づくりのお手伝い。

友人獰猛化モンスターやら銀嶺ガムート蹴散らされているのを尻目に見ながら夕方までプレイした。

 

まぁ、xmlrpc.phpのアクセス制限は飽くまで応急処置。

夕方、モンハン終わった後に本格的に作業を再開。あいかわらずサーバーの方はやや重い。

とりあえず、件のIPがどこからのアクセスか調べた。

当初IE7だから中国かな?と予測していたのだが・・・違った。

 

185.188.204.XX

国 ロシア連邦
所在 モスクワ
地域 モスクワ

 

おそロシア!!!!海外ってなにそれ怖い。

寒い地域に住んでるから心も冷たいのかな???

 

お前ら頭が実にクール、ついでに頭皮もクール。(いや、かっこいいハゲの代名詞の某大統領のイメージが強いので・・・)

こちとら夏真っ盛りだよ!俺の頭が熱暴走しそうだわwww

 

とりあえず、原因はわかっているのでファイアウォールにDoS攻撃関係の対策をさらに強化。

そして、ダメ押しでファイアウォールに「185.188.204.XX」系列のIPを規制をかけた。

とりあえず、これで応急処置を除去。

結果、大量のピンバック垂れ流しは防げました。

 

よかった・・・のだが、それとは別に実にイラッとすることがあったので、それはこっちの記事に愚痴として書いておく。ああ、前の会社の社長からホリデーコールとかまじでありえん。

 

 

カテゴリ

この記事のコメント

コメントはないです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です