[Kou]

ありがとうございます。

検証は今後数日のうちに行いますので、よろしくお願いします。

[Kou]

DNS追加できました。
メールドメインの設定でサブドメインが利用できないため、AレコードとAAAAレコードのみ追加しました。
mailgw.jf6deu.netはcloudflare通っていますが、mailgw1.jf6deu.netの方はcloudflareを通っていません。

双方とも、デバッグに役立てられると考えますので、よろしくお願いします。

[Kou]

承知しました。

未検証と書かれていました、ie-t.netのサブドメインと独自ドメインの検証で手伝えます。
サブドメインはhg.ie-t.netで、独自ドメインはjf6deu.netと(任意の文字).jf6deu.netで検証できます。
任意の文字は決めていただければ(例えばafsやtestingなど)DNSレコードを追加します。

以上、よろしくお願いします。

[Kou]

すみません、この変更に関連するかはわかりませんが、hostmasterに向けてメールが送れなくなっています。
先ほどの件のメールがテキストであるにもかかわらず、このようなメールが返ってきました。

[Kou]

AFS検証について、私も参加します。
個別にメールをお送りしますので、よろしくお願いします。

[Kou]

横からですが、私個人の意見として拒否国を追加するより特定のアクセスがあったら全サイトの拒否リストに追加というような動的な保護が必要なのかなとも思います。
例えば、家Tサーバー内での「*****A.ie-t.net」に攻撃に似たアクセスがあった場合、別の「*****B.ie-t.net」にもそのIPをブロックするようにするといった機能です。
この場合、負担が増えるかもしれませんが、保護をするかしないかを選べるようにすれば少しは拡張性があるのではないかと思います。

プロトコルとしては、wp-includesフォルダへのPUTコマンド(HTTPリクエストとして通常はありませんが、私のところでは頻繁に来ます)やPOSTコマンドを制限する、などといったことが良いかと思います。
あくまでも一例ですので、間違ったことが含まれているかもしれませんが…

[Kou]

確認しました。
今日は落ち着いているようです。
まだ様子見を続けています。
存在しないファイルへのアタックは減ったものの、WordPressへのアタックは増えているような気がします…

[Kou]

攻撃元が判明しました。
Team Anon Forceというらしいです。
アクセスログに意図的?に足跡を残していきました。

今日もまた、アタックがありました。

[Kou]

了解です。
今後も様子見を続けようと思います。

[Kou]

確認しました。
ありがとうございます。

[Kou]

確認しました。
htaccessにdenyを追記する方向でプログラムを修正してみます。

…今日の18時ごろにもまたAzureから例の変なアクセスが来たようです。

[Kou]

一応、コードを作りました。
管理用メールアドレスに添付します。

私のサイトにもファイル名が決まり次第導入する予定です。

[Kou]

確認しました。
急遽、ログを作成するスクリプトを作成します。
ファイル名の希望があれば教えてください。

一つ質問ですが、ユーザーフォルダ下のlogフォルダ(/log/)に置きたいのですが、可能でしょうか？
よろしくお願いします。

[Kou]

一旦整理すると、

・/web/error/404.htmlが出るエラー
Apache側が404と判断する、ステータスコードも404

・htaccessで./index.phpにURL全体を投げ、PHP側が200以外を出すもの
Apache側は200で受け、PHPでヘッダーのステータスコードを404にセットして出す
(今回狙われたWordpressと私のサイトはこちらの方式です)

の2つがあり、後者の方でブロックが効きません。

…と、ここまで書いてきてわかりましたが、PHP側でブロック処理をするしかなさそうです。
もしかしたら30分ブロックが効かないのはこれが原因かもしれません。

[Kou]

そうですね、エラーコードは書き換えた404です。
ただ、私の場合は一旦PHPで全てのURLを受けた後、存在しない・見せたくないページだった場合にレスポンスコードを404に書き換えています。
もしかしたらそこが何らかの問題を引き起こしているのかもしれません。
攻撃元のIPアドレスは一つだけです。

生ログをここに貼ると悪いので貼れませんが…

[投稿者]

投稿