[april_c]

13:36頃以降のログ生成を確認できました。

お騒がせしました。

[april_c]

ご迷惑をおかけし、申し訳ありません。

まるで他人事のようなコメントを恥じています。

昨夜メールでご指示のあった「検索関係の撤去作業」は今朝ほどから続けており、まもなくすべて終わります。

とりあえず　ご報告します。

[april_c]

私の環境での情報提供です。

管理人さまからの書き込みがあって、サーバー全体の事象と理解できました。（ある意味 ホッとした感じです。すみません）
1月5日のログを見て「なんかおかしい」と思いつつ様子を見ていましたが、改めてチェックしてみました。
IP：66.249.66.xxx からのアクセスは User-Agent が Googlebot と GoogleOther となっており、ここ数日のアクセス状況は以下のとおりです。
1月1日＝187件
1月2日＝2,571件
1月3日＝4,543件
1月4日＝8,811件
1月5日＝29,713件
1月6日＝48,438件
1月7日＝58,916件（21時現在）

Googlebot と GoogleOther は sitemap を更新すると一時的にクロールが増えることがありますが、今回は明らかにそうではないようです。
どこまで増えるんでしょうかね？　本物の Google系のクロールではないということなんでしょうけど。
ログのIPは google が公表している CIDR らしいし、仮に .htaccess で拒否してもログ件数は変わらないので 今のところは様子見ですかね。

[april_c]

外れでしたか。

<RequireAny>
Require all denied
Require ip XXX.XXX.XXX.XXX（自身のIP）
</RequireAny>

としても たぶん Forbidden 403エラーが出ますよね。

内容があまりに私のケースと同じだったので、思わず反応してしまい 申し訳ありませんでした。

解決をお祈りします。

 

[april_c]

>テストとして、以下のように自分の IPv4 アドレスのみ許可する設定を試しましたが、どうしてもエラーになります。
この件のみ 心当たりがありますので参考になれば・・・ということで。（すでにチェック済かもしれませんが）

・haruさんのパソコンで「コントロールパネル」→「ネットワークと共有センター」
・接続しているアクセスを開いて左下の「プロパティ」をクリック
・「インターネットプロトコルの IPv4 と IPv6 の両方にチェックが入っていたら 以下を読み進めてください。

以前 同じような経験があるんですが、IPv4 と IPv6 の両方で通信できる環境だとIPv6 が優先します。
Require ip [ご自身の IPv4アドレス] としても、優先する IPv6 のアドレスは許可していないので「403 Forbidden」となってしまいます。
IPv6 のチェックを外すと IPv4 でアクセスすることになりますから、Require ip [ご自身の IPv4アドレス] が効いて「403 Forbidden」が出なくなると思います。

[april_c]

情報提供だけです。

ちらみさんのおっしゃるとおり IPv6 がらみかもしれません。

ネットワーク設定で IPv4 だけにチェックが入っていれば FTP（FFFTP と FileZillaの両方で確認済）はつながります。

最近のことかなと思いますが、IPv4 と IPv6 の両方にチェックが入っているとつながりませんし、もちろん IPv6 だけでもつながりません。

参考になれば幸いです。

 

 

[april_c]

The website flipflop.ie-t.net is over traffic and has been disabled.

という自動メールがありました。そのとおりだったのですね。

初めてのことだったので戸惑ってしまいました。

月が替わるのを待ってみます。

ありがとうございました。

[april_c]

スレッドのタイトルを間違ってタイピングしてしまいました。
サイトにアクセスできません（その２）
です。
記事修正の方法がわからなかったので返信にて修正させていただきました。

[april_c]

恒久対応 ありがとうございます。

>その原因は・・・あまりにもしょぼくてよう言いません（笑）

エラー時のメッセージどおり 証明書の期限 が原因なのかな？などと勝手に推測していましたが、アクセスできれば問題ないんで了解です。

 

 

[april_c]

早速対応していただき ありがとうございます。

お忙しい中 応急的な対応ということですが、12時30頃にアクセスしたところ 改善していましたので ご報告します。

 

[april_c]

確認しました。

ありがとうございます。

[april_c]

うっかりして そのまま検証してしまいました。

nolog と allow を外した記述ですね。

改めてやってみました。が・・・エラーログが同じように出てしまいました。

こんなにいろいろやっても好結果が得られないということで、エラーログを意図的に吐き出すような記事投稿で検証、それ自体に問題があるような気もしてきました。

WAFテスト006
（.htaccessの記述）
<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xx.xxx” “phase:1,id:200000001”
SecRuleRemoveById 200000001
</IfModule>
結果：19行のエラーログ生成（先のURLに「WAFテスト006」として掲載しています）

これ以上 調べようもないような感もありますので とりあえずは撤退しますが、進展がありましたらご報告します。

 

[april_c]

WAFテスト005
（.htaccessの記述）
<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xx.xxx” “phase:1,id:200000001,nolog,allow”
SecRuleRemoveById 200000001
</IfModule>
結果：19行のエラーログ生成
※ SecRuleRemoveById “200000001” でも同じ結果
※ ^xxx.xxx.xx.xxx$ とすると500エラーが出てしまう

残念ながら、意図的な投稿に対してエラーログを生成してしまいました。

SiteGuard では簡単にIP除外ができたので簡単にできるんだろうと始めたことでしたが、実際はそうでもなかったようです。

他の方法でも対応できますので、この件については 一旦ここで諦めることにします。

これまでお付き合いいただき、たくさんのアドバイスに感謝です。

今後ともよろしくお願いします。

[april_c]

>ipMatchの方法ですが、上記URLにあるようにドットの前を￥でエスケープしてもダメでしょうか。

というお問いかけをいただいたのでやってみましたが、500エラーで玄関の戸が開きませんでした。

（1）正規表現で行頭・末を使った場合～アクセスした時点で500エラーのためサンプル投稿できず

<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch ^xxx\.xxx\.xx\.xxx$” “phase:1,id:200000001,nolog,allow”
</IfModule>

アクセスログ
xxx.xxx.xx.xxx – – [07/Jul/2025:13:50:09 +0900] “GET /term_original/term.php HTTP/2.0” 500 2054 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:141.0) Gecko/20100101 Firefox/141.0”

エラーログ
[Mon Jul 07 13:50:09.123718 2025] [core:alert] [pid 2805948:tid 2805961] [remote xxx.xxx.xx.xxx:25710] /var/www/clients/client492/web914/web/term_original/.htaccess: Error creating rule: Could not add entry “^xxx\\.xxx\\.xx\\.xxx$” from: ^xxx\\.xxx\\.xx\\.xxx$.

（2）正規表現で行頭・末を使わない場合～アクセスした時点で500エラーのためサンプル投稿できず

<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx\.xxx\.xx\.xxx” “phase:1,id:200000001,nolog,allow”
</IfModule>

アクセスログ
xxx.xxx.xx.xxx – – [07/Jul/2025:13:56:00 +0900] “GET /term_original/term.php HTTP/2.0” 500 2054 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:141.0) Gecko/20100101 Firefox/141.0”

エラーログ
[Mon Jul 07 13:56:00.022417 2025] [core:alert] [pid 2805948:tid 2805965] [remote xxx.xxx.xx.xxx:33896] /var/www/clients/client492/web914/web/term_original/.htaccess: Error creating rule: Could not add entry “xxx\\.xxx\\.xx\\.xxx” from: xxx\\.xxx\\.xx\\.xxx.

※500エラーが出たことで、これまでのアクセスできても検知除外せずにエラーログが出るよりも、ルールの記述さえ・・・って思うと反対に近づいているような気もするんですが、ダメでした。
※ドットにエスケープを入れると「xxx\\.xxx\\.xx\\.xxx」のように重複するみたいですね。これで500エラーになってるよう。
※これ「phase:1,id:200000001」が 何なのかわからないのですが・・・

[april_c]

2つの方法を提示していただいたので、浅知恵ですが 以下の要領で試してみました。
・最上位に置いてある 既存の.htaccess を削除して、サーバのWAFの影響だけにする。
・長めのPHPスクリプトを掲示板に投稿して、.htaccess 未設置の状態でWAFのエラーログを出させる。
・「term_original」というディレクトリに4種類の.htaccessを置く。
・それぞれについて、term_original内の term.php にアクセスしたときにエラーログがどうなるか検証する。

ルールの記述の仕方もよくわかりませんが、以下のテスト000から004までの5つのパターンを検証してみました。
的ハズレの検証かもしれませんが、得られた事実のみ掲載します。

・WAFテスト000
（term_original内の.htaccessの記述）
.htaccess なし
結果：21行のエラーログ生成

・WAFテスト001
（term_original内の.htaccessの記述）
<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xx.xxx” “phase:1,id:200000001,nolog,allow”
</IfModule>
結果：21行のエラーログ生成
※「id:200000001」がよくわからないのでそのままで検証しましたが、これが検知除外できない原因？？？

・WAFテスト002
（term_original内の.htaccessの記述）
<IfModule mod_security2.c>
SetEnvIfNoCase REMOTE_ADDR ^xxx.xxx.xx.xxx$ MODSEC_ENABLE=Off
</IfModule>
結果：21行のエラーログ生成

・WAFテスト003
（term_original内の.htaccessの記述）
SetEnvIfNoCase REMOTE_ADDR ^xxx.xxx.xx.xxx$ MODSEC_ENABLE=Off
結果：21行のエラーログ生成
※<IfModule></IfModule> を外してみました。

・WAFテスト004
（term_original内の.htaccessの記述）
<IfModule mod_security2.c>
SecRuleRemoveById “100000-999999”
</IfModule>
結果：エラーログ生成なし
※すべて検知除外することで IDレンジ指定しているのでエラーログは出ないはずと予想していたが、そのようになりました。

まとめ
・テスト001～003 のエラーログは、確認していないが たぶん同じ
・テスト004でわかったことは、設置した.htaccess は機能している模様
・IPによる検知除外は このパターンにはなかったこと
・ModSecurity は.htaccessでのIP除外はできないのでは？

なお、それぞれのエラーログは以下のページで参照できます。
https://flipflop.ie-t.net/test_term/term.php

[投稿者]

投稿