goods and life +

最近またブルートフォースアタックとか DDoS 攻撃とか流行ってんのかな?

なんかログインエラーいっぱいキタ(゚∀゚)

最近 CloudFlare のダッシュボードを見ようとしたら「 Analytics data could not be loaded. There are no valid zones associated with analytics.」ってなってたり(すぐに直ってましたけど)、複数のサーバー屋さんが「DDoS攻撃されてるの確認したから数秒止める」って感じでメンテのアナウンスをしていたり、あと某ファンブログからロリポップ!レンタルサーバーに移転して WordPress ブログを使っている某アリサヤさんがアタックされまくってたりしていました。

ロリポだからさ!、とか思ってて 2〜3日後に自分ちの Crazy Bone (狂骨)を見るとこんなんなってました、はは(笑)。
login_error


なんじゃこれ…。
2014-07-21 20:37:01 から 始まってました。
もしかしてこれブルートフォースアタック(Brute Force Attack/Brute Force Password Cracking)というやつやんけ!、はじめて来たわ。
いま流行ってんの?
当然ですけど全部失敗に終わってます、でも無駄にサーバーに負担かかってるんじゃ?
てかいちいち面倒臭いなーこいつらほんと、もうね〜。

 


こいつらの皆さんでーす
お約束の晒し上げ。
まあ皆さんっていっても、ユーザーエージェント「Windows NT / Google Chrome 33.0.1750.154」(偽装だろうけど)の一台だけが、踏み台になってる各地の PC の IPアドレスを利用してるんだと思いますけどね。

Canada
64.15.138.14

United States
50.2.223.207 ×2回、50.22.44.164、50.62.80.240、50.63.57.211 ×2回、54.207.31.52 ×3回、64.27.58.202、64.34.173.227 ×2回、64.64.9.78、66.147.235.81 ×2回、64.207.181.55 ×3回、67.227.174.86 ×3回、69.64.56.146 ×2回、69.163.144.114、69.175.111.218 ×3回、72.47.220.227、74.86.72.18 ×4回、97.74.127.145、108.59.252.133 ×3回、108.59.254.26、108.178.57.146 ×2回、142.4.23.60、142.4.25.235、166.63.127.244 ×4回、173.236.152.13、173.214.189.104 ×3回、184.168.112.26、184.171.240.27、192.169.82.198 ×2回、192.210.141.184、198.57.210.25 ×7回、205.186.142.240、205.186.150.28、209.59.164.209 ×4回、216.70.68.242、216.98.196.14 ×2回、216.222.148.52 ×3回

United Kingdom
31.24.36.35、91.109.3.166、91.109.14.204 ×2回、109.75.166.116、151.236.51.55 ×2回、212.48.66.246 ×4回

France
5.135.165.206 ×3回、37.59.35.4 ×3回、46.105.14.54 ×2回、88.190.45.37 ×2回、92.243.25.211 ×4回、94.23.28.193、94.23.84.191、188.165.202.118、188.165.201.137、195.154.226.99 ×4回、212.83.164.81

Netherlands
87.255.57.169、89.31.97.232 ×2回、109.72.80.219 ×3回

Sweden
91.123.193.54

Germany
31.47.246.18、46.4.20.133 ×2回、85.214.33.150 ×12回、88.198.202.102 ×2回、91.203.111.32、144.76.219.151 ×4回、176.9.195.105×5回

Austria
37.187.79.43 ×3回

Belgium
88.151.245.66 ×2回

Czech Republic
188.191.53.86 ×2回

Hungary
80.249.163.1 ×2回、195.228.188.6

Spain
212.85.38.92

Viet Nam
221.132.33.175 ×2回

Nepal
110.44.123.159

Indonesia
112.78.44.28

Turkey
91.227.4.98、94.138.219.186、95.0.26.85

China
114.113.145.149 ×3回、203.195.184.151 ×3回、219.232.242.210 ×2回、60.12.119.200、59.44.60.161、1.189.235.188

Hong Kong
183.90.191.26、202.177.25.123 ×5回、180.178.61.194 ×2回

Japan
122.213.243.131

Lithuania
31.193.192.184

Brazil
177.70.21.29

Uganda
41.190.76.5

名無しさん
23.238.179.36、103.251.90.116、162.211.82.114 ×3回、162.144.76.12 ×4回、162.144.42.176 ×3回、162.144.85.213、162.243.21.120、192.249.56.190


今回は暑くてちょっとダレてるのでサーバーのログとかキッチリ見てないですけどね、Crazy Bone (狂骨)で見る限りではこんな状況になっていました。

IPアドレスはマルウエアに感染して踏み台になっている人のものかもしれないけど、けっこう何度も同じところからしつこいというか、実はわりと使われている IP の球数は限られてるんですよね。
踏み台ではないかもしれないみたいに偏ってたりするところもある感じ?、怪しい。

ログインに失敗すると、続けて同じ IP を使ったアクセスは相当な時間待たないと出来なくしてあるため、上にある IP だってリボルバー式かランダムに総当たりで使ってるだけのような。
とりあえずわかってる分だけでもまとめて deny したらいいかも?
IP で制限するとサーバーに負担をかけないで済みますし。

 


で、某アリサヤさんがこんな記事を書いてます。
・WordPressの総当り攻撃でユーザー名が見破られている
・総当り攻撃に有効なプラグインSimple Login Lockdownの効果

アリサヤさんとこへのアタック

アリサヤさんとこへのアタックはこんな感じで、UA が Opera(まあ偽装だろうけど)で、Estonia の IP、88.196.1.162 ばっかじゃないですか。
というか、88.196.1.162 からだけ、他に DDoS攻撃とかもたまにある様子。

DNS amp 攻撃かも、警察庁が怪しいパケットの増加を観測。
オープンリゾルバー~正規キャッシュDNSサーバー経由の2段階DDoS攻撃か?

オープンリゾルバ確認サイト
http://www.openresolver.jp/

警察庁情報通信局情報技術解析課
情報技術解析平成 25 年報
http://www.npa.go.jp/cyberpolice/detect/pdf/H25_nenpo.pdf
急に DNS リフレクター攻撃が増えてます。


アリサヤさんとこで使われてるのがたぶんロリポップ!レンタルサーバー。
ロリポ使ってる人は Crazy Bone (狂骨) を入れてみて様子を見るといいかも。




inali がこのブログで使っているのはファイアバードっていうレンタルサーバー。
(今は名前が変わってスターサーバーっていうクラウド型のサービスに移行しています。)

値段もサイズもちょうどエックスサーバーの半分のようなもの。

エックスサーバー
巷で人気のエックスサーバー、こっちはファイアバードと比べて月間の転送量制限もゆとりがあるし、あと、なぜかちょっと動作が速い気がするんですよね。
ファイアバードの Quad-core CPU に対して 6コアCPU、FCGIなどの高速化機能が効いているのでしょうか。

 


今どきのレンタルサーバーはこんな感じ
ネットオウルのファイアバードの場合は、サーバー管理ツールの WordPress セキュリティ設定から国外 IPアクセス制限やログイン試行回数制限がデフォルトで有効になっています。

これは、WordPressの管理者ツールやダッシュボードの部分にあたる /wp-admin 、ログイン時にアクセスする /wp-login.php その他のファイル(/wp-admin、/blog/wp-admin、/wp/wp-admin、/wp-login.php、/blog/wp-login.php、/wp/wp-login.php)に対する「国外 IPアドレスからの接続」を制限できるものです。
国外からアクセスする場合を除いて、ON のまま運用することが強く推奨されているものだから普通にそのまま使ってる場合はこれで特に心配ないのです。

外部サーバーを経由する場合
だけど、CloudFlare(クラウドフレア)や Jetpackプラグインの画像 CDN など、外部サーバーを経由してアクセスするようなサービスを利用している場合、経由するサーバーがこの機能の制限に該当してしまう可能性があるため、制限を解除しないと使えないわけです。
そすっと、解除するかわりに、安全のため個別の IPアドレス制限や BASIC認証などを用意しないといけなくなります。

※外部サーバーを経由してアクセスするサービスを利用しても、「ログイン試行回数制限」はそのまま使えます、試行→失敗後は24時間解除されない仕様になっています。
このあたりは、エックスサーバー株式会社のエックスサーバー、シックスコア、エックスツーと、ネットオウル株式会社の、ミニバード、ファイヤーバード、クローバーは全部一緒の対策になっているみたいです。
24時間以上解除しない設定がおこないたい場合は Login Security Solution プラグインを使えば任意の時間に設定できます。

CloudFlare を使っていると、おまかせ的な機能に頼れない。
試しに Cloudflare のカスタムルールを使ってこいつらの皆さん方の IP を ban していても、なぜか /wp-login.php にアクセスしてきてログインに失敗してたりするんですよね。
効いてないのかな?、というかたどり着けてる、アカン。

CloudFlare とか使わないならデフォルトの推奨設定で使うのが安全でラクチンだし、素で速いサーバーを使えてるなら CloudFlare とか別に要らないだろうけど、現状それなりに捨てがたい魅力もあるんですよね、個人の感想です。
CloudFlare、APIでIPを切り替える
CloudFlareはCDNとファイヤーウォールのように働いてくれます。HTTPSや高度な機能を使用しない限りは無料で使用できます。
その性質上、リバースプロキシとして動作します。サブドメインごとに、別のIPへ振り分けるなど、当然できてしまいます。

個人向けCDN「CloudFlare」を試してみた
CDN(Contents Delivery Network)という技術があります。インターネットのコンテンツ配信を高速化・最適化するために構築されたネットワーク網のことで、WEBサーバーのキャッシュを高速で返すことが可能になります。

CloudFlare は捨てたもんじゃないと思う件


 


総当たり攻撃にどう対策するのか?
総当り攻撃の対策にはアクセス認証(Basic認証)を付けるとか、.htaccess を書くとかあるんですけど、.htaccess を書くにしても固定IPで契約していないんだったら、何かの拍子に外部IPが切り替わったりするといちいち面倒臭いですよね。

ぶっちゃけ前に書いたように、ログインパネル部分に細工したり、Captcha のオマケ機能で算数チャレンジを表示させるとか、Lockdown させるプラグインを入れてみるとか、Login Security Solution というプラグインを入れてみるとかもありだと思います。

今回は限られた IP の使い回しの様子なので、WordPress のプラグインで IP Ban 関係のものを使ってみようかと。
inali は比較的最近も更新がされている WP-Ban ってのを入れてみました。
これがなかなか手軽で便利です。
Ban
Banned IP にはワイルドカードが使えます、その他 IP Range での指定、国名など Host Names や (http://*.blogspot.com) のような Referers 、(LMQueueBot*) のような User Agents での指定が可能で、ban から除外する IP の指定もおこなえます。

支那からの異常なアクセスが多い。
Banned Message も表示できますので、そこに「尖阁列岛是日本领土、六四天安门事件、法轮功、人权、Uighur、Tibet、请观看此视频 → youtu.be/L7O9x6l3pgU?list=PL0938BF24000377A1」とかなんとか書いとけばいいんじゃないでしょうか。
(そうすると中共の運営してる金盾のファイアーウォール機能にそういった”キーワード”が検閲されてアクセスできない、ただしザル)

つい最近もショッピングセンターの集客イベントで「打(日本)鬼子ショー」 という「日本人殺しを子供に見せるショー」とかやってるような国ですし。

こんな中国もアメリカ合衆国、イギリス、フランス、ロシア連邦と並ぶ安保理の議案拒否権を持つ常任理事国5カ国ですよ、国連のような戦勝国好き勝手クラブてなんかすごくアホ臭いけど、負ける戦争は絶対にやっちゃいけないってこと。

抗日奇俠-打鬼子!ですか、抗日奇俠外傳-軍刺ですかああそうですか、って感じ。
もうね46年前の鶏肉ファストフードも喰っててください、っていっても、この人たちもやらされてるんでしょうけどね、でもこれじゃ親北団体の挺対協のインチキ慰安婦の韓国人と変わらないレベルというか。
まあでも世の中こんな人ばっかりじゃないですし、コレやらないと中共に消されるのかもね。
打(日本)鬼子ショー

で、そうこうしてると Login Security Solution で設定してあるメールが届きました。
こんな感じ。
ATTACK-HAPPENING-TO

MD5 の 4e8ca78dfd3e1fc8cbbb35526f66da4b をデコード変換してみると eUM6ニ
Username に admin を、Password に eUM6ニ を使ってトライしたって感じ?
いや、やっぱ「ニ」ってのはおかしいから、CRC32 でデコードすると 1c4c632e これかな?

フラソス製とかコットソなんて打っちゃう人たちですしね、そう言う意味で「ニ」もアリなのかもとか思っちゃう(ほんとうは半角カナなんて使えないだろうけど)
フラソス製100%コットソ アイロソは裏かち当ててください ドティクリーニソグして下ちい クリスチャソディオ-ノレ

いやですねまったく。

まあ1c4c632eで間違いはないわ、これ CSS で使うようなカラー番号ですよね。
色番号とかも総当たり用のライブラリに使ってるんでしょうか。
というか、清華同方ソフトウェア株式会社というところがこういうパスワードクラッキングの MD5 をたくさん晒してますけど、何なんでしょうね。

誰か Tor とか使って 202.177.25.* でアクセスしてみてくれないかなー、ちゃんと「尖阁列岛是日本领土、六四天安门事件」とか見えてますか?
※追記:見えてたけど、Youtubeへのリンクがちゃんと表示されなくて、つまんないのでボツにしました。(ていうか尖阁列岛是日本领土、六四天安门事件とかの表示は現在はもう使っていなかったりする)

てことで、容易に予測が不可能で、解読するにしてもすごい時間が必要になる ID やパスワードを作っておくことが大事で、あと、同じ ID・パスワードの他での使い回しが原因で、どこか一カ所のサービスから情報が漏れてしまったものがアタック用の辞書に加えられて、それを攻撃に使われるなんてこともあり得る事なので、ID やパスワードは他で使い回しをしない。

そもそも、その人周辺の意味を持つような情報の断片の組み合わせからユーザー名などが割れてしまうってのはけっこうヤバいですよね。
また、見かけ上のユーザー名と、実際のユーザー名入力に必要なものとを別のものにすることも出来ますし、何重かのセキュリティを設けておくと短時間では突破できないはず。

あと、外から見えにくくする事も有効かもってことで iThemes Security ってプラグインも使ってみました。
iThemes Security での各種設定は.htaccessファイルに正規表現で書き込まれているので、もし設定失敗してたら FTP等使って自分でちゃちゃっと修正できないとちょっと面倒かもしれませんが、これがわりと細かいところを簡単に設定できて助かります、コードを自分で書かずに XML-RPC を無効にしたりなんかも簡単におこなえます。

どうやら XML-RPC が有効だと、トラックバック/ピングバック機能を経由してサービス拒否攻撃を受けやすくなるらしくて、最近実際に攻撃されて落ちちゃったりしてる人の報告とかもあったので、ついでに XML-RPC を完全に無効にしておきました。

隙あらばいらんことをされるのは使う人が多い WordPress の宿命、特に共用サーバーは他の利用者に迷惑がかからないように使わなきゃいけないので気をつけましょう(自戒)♪

※追記:後日上記で挙げたIPを全部Banするとログイン試行が1件もなくなりました。
まあパッシブな対策ですけど、それであきらめるなら御の字だと思います、でも、面倒臭いことをやってでもアクティブに対策したいなら、ホットな最新スパムIPの情報はここに集まってます。
http://stopforumspam.com/


※ GTmetrix のテストサーバーを ban すると、当然 GTmetrix での表示スピード計測は出来なくなるので、GTmetrix を使う場合は以下の IP を許可しておくといい感じ。

GTmetrix のテストサーバー
204.187.14.73、204.187.14.74、204.187.14.75
208.70.247.157
74.86.15.72
217.27.250.160、217.27.250.102
54.252.112.140、54.252.105.153、54.79.52.185
177.71.179.47
180.149.241.242
103.6.84.243

追記:新しいサーバー
204.187.14.66
204.187.14.73
204.187.14.74
204.187.14.75
208.70.247.157
209.177.156.61
209.177.156.63
217.27.250.160
217.27.250.102
54.252.112.140
54.252.105.153
54.79.52.185
177.71.179.47
180.149.241.242
103.6.84.243


首の皮一枚って感じ(´・ω・`)♪

お買いもの忘れはないですか?

  • コメント ( 4 )
  • トラックバック ( 0 )
  1. おはようございます✩
    UA のOperaの所は偽造できるんすか! 当たり屋って色々と小ワザ使いますね。
    私みたいな素人が多そうなロリポップですが、さすがに皆さん気を付けていると信じたいです。
    まさか123~とかパスワード使っている人がいたら… いないですよね。きっと。
    でもユーザー名は単純過ぎて見破られてしまったので、すごく長い意味不明なものに変更しました。

    私の所はかなり狙われているようなので、Tomさんの所で教えて貰った.htaccess に
    IPアドレスを追記する方法で防いでいます。
    追記してからIPアドレスが2回変わっていますが、今の所そのまま管理画面に入れています。
    ログアウトしなければ大丈夫みたいですね。

    • UAの偽装は普通にありますよ〜、IPの偽装(一昔前の流行)もやってるかもしれない。
      で、対策以降はもう来ないみたいなので、この迷惑人間のIPの弾数はとりあえず今のところこれだけみたいです。
      忘れた頃にまたくるのかも。

  2. こんばんは✩
    ロリポップでDDoS攻撃がありました。
    8月1日の17:25~17:35の間の10分間、一部のサーバーに接続する事が出来なかったみたいです。
    色々な攻撃に晒されていて心配になります。

    • そっか〜、うちんとこも明日の午前6時00分頃 〜 午前8時00分頃の間に1秒程度メンテらしいよ。
      WordPressはけっこう狙われちゃうのだな〜。

inali への返信 コメントをキャンセル

*
*
* (公開されません)

CAPTCHA


※スパム対策のため、日本語を含まない投稿は無視されます。

Return Top