以前より不正アクセスに悩まされている事を記事に投稿しています。
アクセス制限や諸々の対策を行って、不正アクセスはだいぶ減ってきているように思えてきました。
が、ずっと気になっているいくつかのグレーなアクセスがありました。
5.188.210.*からのアクセス
解析ソフトslimstatで確認してみると5ページ分をアクセスしているのに滞在時間は0という閲覧パターンが前々から気にはなっていました。
一連の閲覧操作は1分以内の事です。人間の手ではなく機械的、プログラム的な操作のように思えます。
あやしい動きだ!
生ログをUNIXコマンド grepで検索してみると、POSTとwp-commentの文字が気になります。
一部抜粋
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:20:58 +0900] “GET /blog/ HTTP/1.0” 200 668711
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:21:04 +0900] “GET /blog/?page_id=1480&=1 HTTP/1.0” 200 183274
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:21:10 +0900] “GET /blog/wp-*****/themes/****/images/site-icon32x32.png HTTP/1.0” 200 352
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:21:12 +0900] “GET /blog/?p=4813 HTTP/1.0” 200 664767
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:22:00 +0900] “POST /blog/wp-comments-post.php HTTP/1.0″ 302 –
ssl_access_log-20220821:5.188.210.38 – – [21/Aug/2022:14:22:02 +0900] “GET /blog/?p=4813 HTTP/1.0” 200 664365
ssl_access_log-20220821:5.188.210.25 – – [21/Aug/2022:16:07:57 +0900] “GET /blog/?page_id=1480 HTTP/1.0” 200 696825
ssl_access_log-20220821:5.188.210.25 – – [21/Aug/2022:16:08:14 +0900] “GET /blog/wp-******/themes/****/webfonts/icomoon/fonts/icomoon.woff HTTP/1.0” 200 13000
コメントがスパム(SPAM)として処理されている
生ログ内のwp-commentsが気になったので、wordpressのコメントを見てみるとスパムがたくさん来ています。
スパムチェックが自動でされており、気にならなかった?気にも止まりませんでした。
内容は、閲覧者に指定したURLへ飛ばそうとしているものが多いように思えました。同じIPなのに投稿者の名前が違っていたり、投稿者名が同じなのに連絡先メールが異なっていたりと、怪しげです。
さらに、怪しいIPは1個だけではなく10個以上あります。
不正アクセスの決め手はコメント
当ブログではコメントが自動でチェックされてます。ご存じの方も多いと思いますが、当ブログのセキュリーティー上アプリの名前は伏せておきます。
ここで問題の5.188.210.*からのコメントが全てスパム扱いとなってます。
色々なサイトで確認した結果、
ほぼ間違いなくSPAMコメントである!」
と断言できそうです。
こちらは、ロシアからのアクセスのようです。
解析サイトによってはイランと表示される場合もあります。
対策
・ コメント投稿を受付ない
などがありますが、今のところは特定のページのみコメントを受け付けないように設定しました。
経過観察
slimstatにはアクセスの痕跡が残って目障りなのですが、コメント入力の項目自体がないのでそもそも、コメントの入力ができない仕様となってます。
しばらくこれで様子見をしようかと思います
5.188.210.*の皆さん!
お願いだからSPAMコメント送り付けないでください!
コメント