スレッド一覧 > 記事閲覧
[255] BaiduSpiderを装った不正アクセス
日時: 2024/06/12 09:32
名前: Kou ID:FPMvyZkU
参照: https://tnsk.ie-t.net

一応お知らせということでここに書いておきます。
BaiduSpiderを装った不正アクセス(SQLインジェクション)が43.132.***.***から来ています。
ほかに同じ症状の方を探しています。
ご回答、よろしくお願いします。
(どうやらWAFを通り越したようです)

(こちらは対策をしてて、問答無用で403を返すのでそんなに...とは思いますけどね。)
メンテ

(全部表示中) もどる スレッド一覧 新規スレッド作成

Re: BaiduSpiderを装った不正アクセス ( No.1 )
日時: 2024/06/12 16:40
名前: flipflop ID:Hdx.k.9.

情報提供みたいな感じです。ごく普通のWEBサイト(CGI PHP を含む)を楽しんでいるものです。
鬱陶しいのは私だけ?って思っていましたので、投稿を読んでなんかホッとしました。
BaiduSpiderですか・・・困ったもんですね。
ログに1万行も残していったりしますからね。
IPを調べると Google LLC や Microsoft、DigitalOcean などに行きついて???でしたが、やっぱり偽物なんでしょうね。(Baiduspider でなくて BaiduSpider なのが怪しい)
偽物 BaiduSpider について素人ながら探っていたら、最近はエラーログに .bc.googleusercontent.com や .your-server.de などが出てきてしまって、何だこりゃ?といった始末です。
WAFで何とかなれば、ログもすっきりしそうですけどね。
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.2 )
日時: 2024/06/12 22:03
名前: Kou ID:4dOtGqJw

ありがとうございます。
こちらも安心しました。
こちらもIPを調べてみたのですが、やはり各社レンタルサーバーの方へ行きつきます。
そんな格安サーバーから攻撃を行っているのかもしれません。(あくまで憶測です)

たしかにWAFで何とかならないかとは思いますけど、やはり限界はあるのでしょうね。
何せ悪意のあるプログラム以外がやってきた場合はそれを通さないといけないのですから。
クライアントからのデータは疑ってかかれ、と聞いたことがあるのですが疑いすぎもよくないでしょう。
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.3 )
日時: 2024/06/12 22:28
名前: ちらみ◆kBt3KPJY0E ID:rFhsvEDU

報告ありがとうございます。
ちょっと今WAFの調子が良くないので今週中に対応しますということと、別のアカウントでも特定範囲の複数のIPアドレスからWebサーバに対するDDoSを確認しています。

たちが悪いことにこれらのソースIPが国内であるため無下にDropできないので、あまりに酷い場合は申し訳無いですが一時的に該当アカウントのWebを停止します。

コンパネから再度開始してもらえれば再開できます。
その時には嵐が去っていることを祈るしかないです。

長年運用してると定期的にこのような事態になりますが最近は本職の方でも顕著なので、今の日本が攻撃の対象になってるのは明白ですね。
我々のようなひっそり運用してるサーバを対象にするのはやめて頂きたい😑
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.4 )
日時: 2024/06/13 10:42
名前: Kou ID:rRRYXipk

こちらこそ、確認ありがとうございます。
今日もまた/sito/wp-admin.phpとか/wp/wp-admin.phpとかワードプレスを狙ったアクセスが来てました。(こちらはアクセスを全て可視化するツールを作成しています)
エラーログもclient denied by server ...でいっぱいです。
私の使っているのはwpではないんですけどね。
やはり例の名古屋港での事件とか例の動画サイトでの事件とか、日本は攻撃しやすいとどこかで噂されているのでしょうね。

web停止の件、了解しました。
勿論ですが、管理人さんが酷いと思えばすぐに停止していただいて大丈夫です。
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.5 )
日時: 2024/06/14 08:38
名前: flipflop ID:cSBlxquU

サーバの管理に感謝いたします。
今朝 Apache accesses を見たら 落ち着いて平時に戻ったように見えますが、いかがなんでしょう?
https://ie-t.net/server-stats/ie-t.net/www.ie-t.net/
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.6 )
日時: 2024/06/14 08:40
名前: ちらみ◆kBt3KPJY0E ID:pvPHy9XQ

昨夜は韓国とアメリカの一部のIPアドレス範囲からの不正アクセスがあったため/16の範囲を2つ拒否ってます。

正直Webアクセスに関しては国内限定にしたいところですがCDNやGoogleアクセス等の必要な範囲もあるため今は緩めています。
メンテ
Re: BaiduSpiderを装った不正アクセス ( No.7 )
日時: 2024/06/17 10:55
名前: Kou ID:.44jZk7o

返信が遅くなり申し訳ございません。
こちらもログを見てみましたところ、昨日から今日にかけては不正アクセスはありませんでした。

ファイヤウォールの調整、ありがとうございます。
緩めているんですね。
またこちらでも確認してみます。
メンテ

(全部表示中) もどる スレッド一覧 新規スレッド作成

題名
スレッドをトップへソート
名前
「名前#任意の文字列」でトリップ生成
E-Mail
入力するとスレッドの通知メールを受け取れます。(非表示)
URL
パスワード (記事メンテ時に使用)
投稿キー (投稿時 投稿キー を入力してください)
コメント

   クッキー保存