この記事には広告を含む場合があります。
記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。
ども。あいしんくいっと(@ithinkitnet)です。
以前、WordPressを乗っ取られた記事を書いたのですが、今度は本ブログにもハッキングの波が押し寄せて来ました!
WordPressを入れたサーバを公開して数か月間放置するとどうなると思う?気になる答えは・・・。
とりあえず、「アタック元IPからのアクセスを拒否」することによって、“暫定措置という名の恒久対応”を行ったのですが、いやはや怖いもんですね~(汗)
同業者の方への情報共有も兼ねて、事象発生〜対応までを書いておきたいと思います。
個人でサーバ借りてブログをやっている人は要注意ですぞ!?
始まりは「妙なアクセス結果」から・・・。
普段から、GoogleAnalyticsでアクセスレポートをちょいちょい見ているのですが、その日のアクセスレポートには違和感が。。。
下の画像は訪問ユーザがアクセスしたページの一覧なのですが、何故かトップページへのアクセスが一番多いという結果になってました。
「ん?な、何かがおかしい・・・。」
前日、前々日のレポートも同様だったので、何日か前から異変は起こってたっぽい。
とりあえず言えるのはトップに「/」が来ることなんてあり得ない!
本ブログへのアクセスは「グーグルからキーワード検索によって訪れるユーザが大半」なので、ブログトップページへのアクセスなんて普段はほとんどありません。
言うなれば、わざわざ“あいしんくいっと”ってキーワードをググって、本ブログへアクセスなんてしますか?って話。まぁ、無いでしょうw
なのに何故?
少し気になったので、サーバにログインして負荷状況を見てみると、異様に負荷が高い。。。
[root@dos-vps-srv140 ~]# w
08:49:01 up 171 days, 17:43, 1 user, load average: 1.83, 1.23, 0.99
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
admin pts/0 59-190-53-239f1. 08:48 0.00s 0.01s 0.02s sshd: admin [pr直感的に「これはっ!」ってなったので、アクセスログを見てみると不自然なアクセスを発見!
104.171.4.6(ロシア?)から/wp-login.phpへのアクセスが頻繁している。
ちなみに/wp-login.phpはWordPressの管理コンソールのURL。
うーむ、間違いない。これは狙われてる。
これは、、、ハッキングだ!
ハッカーなんてプロキシ経由しまくってIP偽装してるだろうし、正確なことは分からないけど、WordPressをハッキングしようとしている。
ちなみにアクセス元はロシアの模様。
とりあえず、Nginxで当該IPアドレスからのアクセスは拒否しておこう。
あぁ。おそロシア(笑)
~アクセスリスト抜粋~
deny 195.154.241.19;
deny 171.49.207.205;
deny 115.84.94.176;
deny 177.131.51.229;
deny 112.133.251.12;
deny 83.134.244.195;
deny 177.221.8.96;
deny 179.177.177.229;
deny 14.192.210.207;
deny 195.154.241.19;
~アクセスリスト抜粋~
固定IP使ってりゃ、「ここからのアクセスのみ許可」ってのが出来るんだけど、固定IPじゃないし。
とりあえずdenyを積み上げとこう・・・。
どんだけぇ~(汗)
設定後にエラーログを確認すると、当該IPアドレスからのアクセスが拒否されていることが確認出来た。
ふぅー。とりあえず、これにて一件落着。
それにしても、サーバ運営してると実に色々なことがありますね。
DDOS攻撃受けたり、ハッキングされたり。。。
過去に実際サーバ乗っ取られたこともあったし、油断は出来ませんね。
でも、この経験がサーバ運営者としての血となり、肉となるので勉強になることは間違いない。実際にやってみないと経験出来ないことってたくさんありますからね。
(実際、被害に遭わないと他人事だしw)
色々あるけれど、と〜っても勉強になるので、少しでも興味がある方はサーバ運営やってみても良いかも。
以上、あいしんくいっとでした( ^∀^)
