今日記事を書こうかと思ってブログにアクセスしたところ、全く応答しない!SSH接続しようとしても全くアクセス出来ない。
しかたがないのでサーバの管理コンソールに入ると、OOM Killerによってhttpdなどサービス関連プロセスがぼこぼこ死んでるという。マジかい!Σ(゚Д゚)
内部処理の問題って可能性はひとまず置いといて、外部からのアクセスを遮断して軽く調べてみると、netstatに見慣れない「LAST_ACK」の状態が大量に。しかも同じIPで。
tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:56660 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:57907 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:50005 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.53:53321 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:54902 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.53:36699 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:36530 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.54:52116 LAST_ACK tcp 0 1 ::ffff:133.130.48.153:80 ::ffff:191.96.249.53:60180 LAST_ACK
こりゃーなんか外部から攻撃食らってるなと思ったのでもう少し調べてみた。外部公開してるのはこのブログ(Wordpress)だけなので、アクセスログを見るとやっぱりありました。
191.96.249.54 - - [27/Jun/2016:08:53:31 +0900] "GET / HTTP/1.1" 200 47771 "-" "-" 191.96.249.54 - - [27/Jun/2016:10:06:23 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42 "-" "-" 191.96.249.54 - - [30/Jun/2016:00:47:18 +0900] "GET /feed/ HTTP/1.1" 404 267 "-" "-" 191.96.249.54 - - [30/Jun/2016:00:47:18 +0900] "GET /?feed=rss2 HTTP/1.1" 200 9461 "-" "-" 191.96.249.54 - - [01/Jul/2016:01:33:34 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42 "-" "-" 191.96.249.54 - - [01/Jul/2016:06:54:41 +0900] "GET /feed/ HTTP/1.1" 404 267 "-" "-" 191.96.249.54 - - [01/Jul/2016:06:54:42 +0900] "GET /?feed=rss2 HTTP/1.1" 200 9461 "-" "-" 191.96.249.54 - - [01/Jul/2016:07:04:34 +0900] "POST /xmlrpc.php HTTP/1.0" 200 394 "-" "Mozilla/4.0 (compatibl e: MSIE 7.0; Windows NT 6.0)" 191.96.249.54 - - [01/Jul/2016:07:04:34 +0900] "POST /xmlrpc.php HTTP/1.0" 200 394 "-" "Mozilla/4.0 (compatibl e: MSIE 7.0; Windows NT 6.0)"
4日前に調査されて、今朝の7時頃から実際の攻撃を食らってる。
どうやらWordPressのxmlrpc.phpを狙った攻撃みたいです。なので以下の情報を参考に、xmlrpc.phpのアクセス拒否と、送信元アドレスのブロックを実施。
404 Not Found
インターネットに公開するってのは攻撃にさらされるってことなんだなーと、そして事前対策不足だったという不勉強を改めて実感。
もっともっと勉強しないといけませんね…
コメント