WordPressを狙った攻撃について

[Kou]

今朝、WordPressを狙った連続攻撃を74.176.xx.xxから食らいました。(ログは毎日チェックしています)
攻撃に対して、proxy_fcgiのエラーで、Primary Script Unknownと出ています。

ここまではソフト側でブロックしていますが、今回は攻撃の時間が異常に長かったのでここに共有したいと思います。
上記のIPから、hellopressというプラグインのwp_filemanager.phpへ攻撃があった後、2025/10/27 00:22:32から00:23:00まで、ランダムな文字列.phpへのGETアクセスが続きました。
合計200ぐらいのアクセスがありました。

私はWordPressではなく、別のCMSの改造したものを使っているので被害はありませんでしたが、この攻撃によるこのサーバーの別のサイトが改ざんなどの被害に遭っていないか心配です。

同じような被害に遭っておられる方、分かりましたら教えてください。
また、同じようなことを受けた、という情報だけでも教えてください。
情報提供だけになってしまいますが、よろしくお願いします。

[ちらみ]

この家Tサイト（WordPress）にも74.176.186.150からの存在しないファイルへのそこそこのアクセスはありました。

ただ、大量かと言われると100件くらいなので微妙なところで、たちが悪いことにMicrosoft管理下の日本のAzureネットワークですね。

とりあえず↑のIPはブロックしてみましたがあまり続くようなら続報下さい。
Apacheに対する403,404,500の大量エラーとなる送信元をブロックする仕組みを作ろうかと思いますので。

クローラーである可能性もあり無下に拒否れませんが、まぁ連続した大量エラーは弾きましょうか。

[Kou]

わかりました。
大量エラーとなる送信元のブロックの件、ありがとうございます。
連続エラーはPHP側でブロックするようにしていますが(Guestログインを要求)、Apache側で行ってくれるとありがたいです。
今日のところは朝以外に来てないので、一回だけの攻撃かな？と思います。

あまり続くようなら、仰る通り連絡を行います。

[ちらみ]

こちらについてですが、様子見をと言いながらやっぱりApacheの連続エラーに関する動的ブロックも追加しました。

30秒間に10回エラーで30分ブロックです。
但し、リンク切れが多いであろう画像ファイル、事務ファイルについては意図しないブロックを招く恐れがあるため検知対象外としました。

[Kou]

了解です。
今の所、同一と見られるアクセスは見られないようです。
今後とも、よろしくお願いします。

[Kou]

ファイアウォール関連のことで、報告だけです。
本日10:24:53に130.33.xx.xから同じようなアクセスが来ました。
前回と同じく、hellopressを攻撃した後に200件ほどのランダムアクセスです。
こちらでWhoisをかけてみたところ、今度はEUのMicrosoftが持っているIPアドレスでした。

30分ブロックが効いていないようでしたので、書いておきます。

[ちらみ]

エラーコードは404ですか？

こちらでテストした限りはブロックされるんですけどIPアドレスもランダムだったり？

[Kou]

そうですね、エラーコードは書き換えた404です。
ただ、私の場合は一旦PHPで全てのURLを受けた後、存在しない・見せたくないページだった場合にレスポンスコードを404に書き換えています。
もしかしたらそこが何らかの問題を引き起こしているのかもしれません。
攻撃元のIPアドレスは一つだけです。

生ログをここに貼ると悪いので貼れませんが…

[Kou]

一旦整理すると、

・/web/error/404.htmlが出るエラー
Apache側が404と判断する、ステータスコードも404

・htaccessで./index.phpにURL全体を投げ、PHP側が200以外を出すもの
Apache側は200で受け、PHPでヘッダーのステータスコードを404にセットして出す
(今回狙われたWordpressと私のサイトはこちらの方式です)

の2つがあり、後者の方でブロックが効きません。

…と、ここまで書いてきてわかりましたが、PHP側でブロック処理をするしかなさそうです。
もしかしたら30分ブロックが効かないのはこれが原因かもしれません。

[ちらみ]

すみません、出張で確認が遅くなりました。

Apacheのaccess.logをログを監視していて、そこでステータスコードが200だとブロックは効かないですね。

そのPHP側の404出力を何らかのログファイルに吐ければそれも監視対象にすることで検知できる可能性はありますが。

[Kou]

確認しました。
急遽、ログを作成するスクリプトを作成します。
ファイル名の希望があれば教えてください。

一つ質問ですが、ユーザーフォルダ下のlogフォルダ(/log/)に置きたいのですが、可能でしょうか？
よろしくお願いします。

[Kou]

一応、コードを作りました。
管理用メールアドレスに添付します。

私のサイトにもファイル名が決まり次第導入する予定です。

[ちらみ]

私から中途半端に伝えてしまったのが大変申し訳ないのですが、全体運用としてのアクセスログ監視ではなく個別ログファイルの監視となると、僅かとはいえサーバのメモリ使用量の増加と今後も含めた個別特例対応の点からあまり好ましい事ではない気がしてきました。

 

試験的に監視対象ログを増やして検知するかを確認する事はできたとしても、運用性を考えると監視の定義をする管理者とログファイルの作成者が異なるべきではないと考えました。

とはいえ、せっかく作られているので、その個別エラーを出力する仕組みから.htaccessにdenyを追記するなどして対応できないでしょうか。

そのphpから”log/access.log” へ本来の形式でログを吐ければ良いんですがユーザ権限では書き込めないハズなので、リクエストURIを受け取る方法を変更するなり404はApacheに任せるなりの方法を考えて頂けないでしょうか。

 

他への汎用性があるものであれば全体取り込みもできるのでしょうけどそうとは思えないので。すみません。

[Kou]

確認しました。
htaccessにdenyを追記する方向でプログラムを修正してみます。

…今日の18時ごろにもまたAzureから例の変なアクセスが来たようです。

[ちらみ]

現在どのような方法で処理されてるのかを確認していませんが、mod_rewriteをうまく実装すれば正確なステータスコードを得られないものですかね。

私もあまりこの辺に詳しくなくて。

https://www.granfairs.com/blog/entry-3031/

[Kou]

確認しました。
ありがとうございます。

[ちらみ]

最近当サイトにも同様のアクセスがありまして、アクセスログを見ると200と301,302,303エラーを交互に繰り返した連続アクセスだったのでこれらも対象にしてみました。

本来はブロックするようなステータスコードではない気もしますが、リクエストURLが明らかに通常アクセスではない上に、短時間に連続する場合は対象にしても良いかなと思うようになりまして。

ただ、30xに関しては少し検知のポリシーを緩くしようかと思います。ちょっとこれで様子見ます。

[ちらみ]

ブロックですが、Apacheの処理のみ一部漏れていたようで綺麗にブロックできておりませんでしたので、今朝修正しました。

もしかするとこれで改善するかもしれません。200以外に301とかもログに出ていれば。

[Kou]

了解です。
今後も様子見を続けようと思います。

[Kou]

攻撃元が判明しました。
Team Anon Forceというらしいです。
アクセスログに意図的?に足跡を残していきました。

今日もまた、アタックがありました。

[ちらみ]

とりあえず直ぐにできる対応として、そのチームの国コード（インド）を拒否しました。

[Kou]

確認しました。
今日は落ち着いているようです。
まだ様子見を続けています。
存在しないファイルへのアタックは減ったものの、WordPressへのアタックは増えているような気がします…

[ちらみ]

ここ2日間くらいで、Googlebotからのアクセス量が半端ないです。
66.249.x.xのアドレスのやつらです。

こいつをfirewallで止めると検索用のクローラーがアクセス出来なくなる事を確認しているので止めたくても止められずたちが悪い。

既に認識はしてらっしゃると思いますがこちらも把握はしていて、もう3,4日静観しておきます、というご連絡です。

[april_c]

私の環境での情報提供です。

管理人さまからの書き込みがあって、サーバー全体の事象と理解できました。（ある意味 ホッとした感じです。すみません）
1月5日のログを見て「なんかおかしい」と思いつつ様子を見ていましたが、改めてチェックしてみました。
IP：66.249.66.xxx からのアクセスは User-Agent が Googlebot と GoogleOther となっており、ここ数日のアクセス状況は以下のとおりです。
1月1日＝187件
1月2日＝2,571件
1月3日＝4,543件
1月4日＝8,811件
1月5日＝29,713件
1月6日＝48,438件
1月7日＝58,916件（21時現在）

Googlebot と GoogleOther は sitemap を更新すると一時的にクロールが増えることがありますが、今回は明らかにそうではないようです。
どこまで増えるんでしょうかね？　本物の Google系のクロールではないということなんでしょうけど。
ログのIPは google が公表している CIDR らしいし、仮に .htaccess で拒否してもログ件数は変わらないので 今のところは様子見ですかね。

[ちらみ]

私がメールで送っている内容は見て頂けているでしょうか？

貴サイトの/bot-crawler_term/term.phpのサイト内検索フォームを一時的に無効にしてみて頂きたいです。

試しに貴サイトを止めてみるとクロールDDoSも止まるので。

[april_c]

ご迷惑をおかけし、申し訳ありません。

まるで他人事のようなコメントを恥じています。

昨夜メールでご指示のあった「検索関係の撤去作業」は今朝ほどから続けており、まもなくすべて終わります。

とりあえず　ご報告します。

[ちらみ]

ありがとうございます🙇🏻

一先ず今は落ち着いていそうです。

https://ie-t.net/server-stats/ie-t.net/www.ie-t.net/cpu.html

また設置するために何らかの対策されたサイト内検索フォームがあると良いですが。

[投稿者]

投稿