goods and life +

WordPress の存在しないファイルにめっちゃアクセスするバカ対策にはコレ

存在しないファイルにめっちゃアクセスするバカ発見( ゚д゚ )

8月15日から16日にかけて、WordPress の存在しないファイルにしつこいアクセスがあって、こんなことの予防のために入れている iThemes Security プラグインによって自動的に生成された「こいつ locked out しといたよ!」ってメールが来ていました。

iThemes Security からメール

何をされていたかというと、存在しないファイルにあまりにも多くのアクセスの試みです。
てか、存在しないファイルにアクセスがあった場合には、WordPress を起動させたくないですよね。
ホスト 1.189.235.188 ってのはやっぱ中国。
もーねー、8月15日のあとは 9月3日が「軍人節」とちゃうんかと。

 

ってことで、今からでも 9月3日対策が出来ます。

iThemes Security プラグインを入れて設定しておくだけで OK です。
そうすれば、わざわざ mod_rewrite.c で書かなくても自動的に 404エラーを返してくれるので誰にでも使いやすいと思いますし、おすすめ。
(iThemes Security の Pro版である必要はありません、この設定は無料版で OK)
短時間に何度もって感じで酷ければ、上のアラートのようなメールを出してくれるので助かります。

iThemes Security の Logs を見るとこんな感じのが延々と…。
(これはその中のほんの一部分です)

404Error

このあいだブルートフォースアタックが収まったところなのに ( ゚д゚)、ペッ

こんな感じで、goods_and_life_plus ディレクトリ以下の存在しない(あるいはあるんだけど場所を隠していたり、わざと移動させたりしてちょっと見えなくしていたりする)ファイルのデフォで置いてありがちな場所に対して集中的にきてます。

iThemes Security プラグインをインストールして設定しておくと、不測の事態も事前に防げるかと。

/goods_and_life_plus/login.php
/goods_and_life_plus/action-blog
/goods_and_life_plus/trackback/
/goods_and_life_plus/signup.php
/goods_and_life_plus/join.php
/goods_and_life_plus/join_form.php
/goods_and_life_plus/reg.php
/goods_and_life_plus/register.php
/goods_and_life_plus/post.php
/goods_and_life_plus/modules.php
/goods_and_life_plus/member/
/goods_and_life_plus/member.php/register.php
/goods_and_life_plus/member/register.php

うちの場合、上記のようなファイルは一応ほんとうに存在していません。
上の例は、China Unicom Heilongjiang、Region: Harbin (CN) からの存在しないディレクトリやファイルへのアクセスで、Harbin からの数秒間隔の悪意ある無限アタックみたいなもの、決めうちのディレクトリに対して総当たりをやってるみたいで確信的な感じ。

ハルビン

涼宮ハルヒじゃないよ、ハルビンだよ。

どこから何に対してどんな頻度でアタックかけてるのかだとか、IP とかもわかっちゃいますので、特に用事がなくて面倒臭かったら下の二つの IPレンジごと Ban でもいいのかも。

・China Unicom Heilongjiang province network Beijing
・China Unicom Fujian Province Network Beijing

abuse-mailbox にメルアド(アドレスブロックにおける不正や不具合に対する連絡用のメールアドレス)が書いてあっても、特に中国と韓国の場合は実質的に軍や政府がやってるようなものなので、そもそも abuse とかそんなもん全く信用できない、そんな特殊な状況の国かどうかに関わらず、現に abuse はそんなに活用されていないのが実情みたいです。

 


追記:iThemes Security に eメールアドレスで登録して、無料で「APIキー」をゲットすれば iThemes Security 側が Brute Force Protection するようになるみたいですのでさっそく導入してみました。
これでちょっと様子見。


 

mod_rewrite.c とか .htaccess のファイルは自分で書いてみるよって人は、risk and responsibility of your own です、そういう時のおすすめ本。

フロントエンドエンジニアの教科書

次のアタックとか、たぶん9月3日、そん次が9月18日さ(´・ω・)ノシ

お買いもの忘れはないですか?

  • コメント ( 1 )
  • トラックバック ( 0 )
  1. やっぱり9月3日〜5日の間、しつこいアタックがきてました。
    27.153.184.4、1.189.235.188、110.82.133.42
    中国電信 福建省 と 中国聯通 黒竜江から。

コメントはこちらから

Return Top