[Kou]

攻撃元が判明しました。
Team Anon Forceというらしいです。
アクセスログに意図的?に足跡を残していきました。

今日もまた、アタックがありました。

[Kou]

了解です。
今後も様子見を続けようと思います。

[Kou]

確認しました。
ありがとうございます。

[Kou]

確認しました。
htaccessにdenyを追記する方向でプログラムを修正してみます。

…今日の18時ごろにもまたAzureから例の変なアクセスが来たようです。

[Kou]

一応、コードを作りました。
管理用メールアドレスに添付します。

私のサイトにもファイル名が決まり次第導入する予定です。

[Kou]

確認しました。
急遽、ログを作成するスクリプトを作成します。
ファイル名の希望があれば教えてください。

一つ質問ですが、ユーザーフォルダ下のlogフォルダ(/log/)に置きたいのですが、可能でしょうか？
よろしくお願いします。

[Kou]

一旦整理すると、

・/web/error/404.htmlが出るエラー
Apache側が404と判断する、ステータスコードも404

・htaccessで./index.phpにURL全体を投げ、PHP側が200以外を出すもの
Apache側は200で受け、PHPでヘッダーのステータスコードを404にセットして出す
(今回狙われたWordpressと私のサイトはこちらの方式です)

の2つがあり、後者の方でブロックが効きません。

…と、ここまで書いてきてわかりましたが、PHP側でブロック処理をするしかなさそうです。
もしかしたら30分ブロックが効かないのはこれが原因かもしれません。

[Kou]

そうですね、エラーコードは書き換えた404です。
ただ、私の場合は一旦PHPで全てのURLを受けた後、存在しない・見せたくないページだった場合にレスポンスコードを404に書き換えています。
もしかしたらそこが何らかの問題を引き起こしているのかもしれません。
攻撃元のIPアドレスは一つだけです。

生ログをここに貼ると悪いので貼れませんが…

[Kou]

ファイアウォール関連のことで、報告だけです。
本日10:24:53に130.33.xx.xから同じようなアクセスが来ました。
前回と同じく、hellopressを攻撃した後に200件ほどのランダムアクセスです。
こちらでWhoisをかけてみたところ、今度はEUのMicrosoftが持っているIPアドレスでした。

30分ブロックが効いていないようでしたので、書いておきます。

[Kou]

了解です。
今の所、同一と見られるアクセスは見られないようです。
今後とも、よろしくお願いします。

[Kou]

わかりました。
大量エラーとなる送信元のブロックの件、ありがとうございます。
連続エラーはPHP側でブロックするようにしていますが(Guestログインを要求)、Apache側で行ってくれるとありがたいです。
今日のところは朝以外に来てないので、一回だけの攻撃かな？と思います。

あまり続くようなら、仰る通り連絡を行います。

[Kou]

わかりました。
ありがとうございます。

[投稿者]

投稿