サーバへの不正アクセス対策について その2
毎回毎回怪しいIPからのアクセスは、ありますね。
apacheのerror_logからの抜粋です。
[Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /var/www/html/README [Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /horde [Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /horde2 [Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /horde3 [Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /horde-3.0.9 [Mon Dec 15 02:57:22 2014] [error] [client 1.226.48.121] File does not exist: /Horde
accese_logはどうかというと
1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET //README HTTP/1.1" 404 204 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET /horde//README HTTP/1.1" 404 211 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET /horde2//README HTTP/1.1" 404 212 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET /horde3//README HTTP/1.1" 404 212 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET /horde-3.0.9//README HTTP/1.1" 404 217 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 1.226.48.121 - - [15/Dec/2014:02:57:22 +0900] "GET /Horde//README HTTP/1.1" 404 211 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
一応404エラーが返されています。当然ですがHordeなんてディレクトリは、ないしインストールしていません。
ネットで調べてみるとiPhone/iPadに対応した無償利用可能な高機能Webmail Horde4 webmail edition
というものらしい。
詳しくは、わかりませんがhttp://www.horde.org/ 英語の本家サイトがあるようです。
しかし、日本でも調べるとインストールされている方もいてiphoneなどからも使えるということでメジャーになりつつあるのかな?
しかし古いバージョンを使うと脆弱性があるとJVNの警告されています。[2014年07月15日]
詳しくは、JVNサイトで確認してください。
その脆弱性をついたものかもしれません。READMEをみて多分バージョンを確認したかったのでしょう。
ちなみにアクセス国は、韓国(KR)でした。
これで思い出したのですが、wordpressをインストールしているならば自分のwordpressのディレクトリ直下にreadme.html、license.txt、wp-config-sample.phpなどがないでしょうか?
このようなファイルは、バージョンがあがるたびに存在するのでアクセスされたくないファイルなのでこのような不要なファイルは、削除しておきましょう。
続いては、2つ目の不正アクセス
[Tue Dec 16 13:26:53 2014] [error] [client 178.216.16.68] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
このアクセスは、ウクライナ(UA)遠方からのアクセスご苦労様です(笑)
ネット調査するとLinksysというルータの脆弱性を狙ったものらしいです。
きちんとアクセスログにもきちんと記録されてました。
apacheが400 Bad Requestを返してます。
178.216.16.68 - - [16/Dec/2014:13:26:52 +0900] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
いろいろと怪しいアクセスがありますね。
続いて3つ目
アクセスログより
5.167.125.15 - - [15/Dec/2014:20:38:26 +0900] "GET /wp-login.php HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/23.0.1271.17 Safari/537.11" 5.167.125.15 - - [15/Dec/2014:20:38:26 +0900] "GET /administrator/ HTTP/1.1" 404 212 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/23.0.1271.17 Safari/537.11" 5.167.125.15 - - [15/Dec/2014:20:38:27 +0900] "GET /admin.php HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/23.0.1271.17 Safari/537.11"
wordpressの不正ログインをしようとしたのでしょうか?
このアクセスは、大国ロシアよりのご訪問です。
普通に404エラーで大丈夫と思いますが気持ちのいいものではないのですべてアクセス拒否とさせていただきました。
根本的な解決方法ではないので今後このようなアクセス対策をしていかなければと思います。
httpd.confでの指定ファイルへのアクセス拒否、指定ディレクトリへのアクセス制限、cgiの実行できるディレクトリの制限等いろいろと見直し検討しなければいけないですね。