193.142.〇〇.〇〇から不正アクセス

CentOS
TheDigitalArtist / Pixabay
この記事は約3分で読めます。

自宅サーバーのメンテナンスをしている。

といっても大したことはしていないのであるが...

スポンサーリンク

日曜日の割にアクセスが多い

いつものようにワードプレスのプラグインslimstatでアクセス状況を見ていると、今日は日曜日の割にアクセスが多い。

「おっさんのブログ」は「趣味とくらし」のサブタイトルが付いているのだが、自分の思惑とは少々ベクトルが異なり、「問題解決やサラリーマン?が仕事中に利用される事が多い」と自分では分析している。そんな「おっさんのブログ」がなぜが日曜なのにアクセスが朝から多いのである。

 

調べてみると、海外からのクローラーかそれに似たようなアクセスと思われた。せかっくなので、ついでに生のログを見てみる。生のログは1件当たりの文字数が多く画面上の1行以内に収まらなかったりするので非常に見ずらい。けれど解析ソフトでは発見しにくいサイトの弱点や不正アクセスも見付けられることがある。

 

アクセスエラーのログを見ていると、結構派手にエラーが出ている。あまりに多く、何が問題なのかを見失ってしまいそうだ。

アクセスエラーには2種類あるように思う

1つは、プログラムや設定などWebサイト内部のエラー、もう1つは不正アクセスなどの外部に起因するエラーである。

今回はおっさんの乏しい知識と経験で(-_-;)、不正アクセスなどの外部に起因するエラーに眼を光らせて観察してみる。

するとなんか見えてきた。

おっさんのワードプレスの管理画面に不正ログインしようとしているヤツがいる

不正アクセスの記録

~not found or unable to stat
~not found or unable to stat, referer: http://don-don.0am.jp/wp-login.php

などと表示されている部分でワードプレスの管理画面にアクセスしようとしているのだ。
IPの情報はある程度しかあてにならないけれど、海外、オランダからのお客様?である。

 

何で、こんな弱小ブログを狙うのか?血も涙もない機会なので無作為に攻撃してきているのだろうか。

grepやwcなどのUNIXコマンドを使って生ログを整理してみる。

# grep wp-login ssl_error_log-2021*
# grep wp-login ssl_error_log-2021* | wc
と、2021/1/15~8/14にかけて、ある特定のIP 193.142.〇〇.○○から552回不正ログインが試みられている事が分かった。幸いログインは対策をしていたので未然に防がれている。
対策方法はNETでいろいろあるようだし、自宅サーバーのセキュリティーの手の内を明かしてしまいそうなので割愛する事にする。

不正ログイン追加対策

とりあえず、.htaccessで特定IPをブラックリストとして登録する事にした。

.htaccess
~中略~
deny from 193.142.〇〇.○○〇〇.○○は不正ログインしようとしたIPアドレス

コメント

タイトルとURLをコピーしました