ログイン
ユーザ名:

パスワード:


パスワード紛失

新規登録
Main Menu
スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
webadm
投稿日時: 2013-11-24 13:07
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2937
第三世界からのspamを遮断
どうも夏頃からサーバーが過負荷に陥る頻度が増えて原因が特定できていなかったが、最新のアクセス統計を見たら驚愕の事実が発覚



なんと逆引きが出来ない第三社会の複数のネットワークからのトラフィックが大半を占めていることが判明。

ログを見ると休みなく記事の閲覧とスパムコメントの投稿シーケンスを繰り返している。しかも同時期に複数のネットワークからである。

一体誰得のスパムコメントをまき散らすだけでなく、サーバーに負荷をかけて他のネットワークからのアクセスを阻害しているので、容赦なくそれらの第三社会ネットワークを遮断することに。

ひとつのIPアドレスを遮断しても、自動的に同じネットワークの別のIPアドレスからアクセスしてくるような仕組みになっており、ネットワークそのものを遮断する必要があった。また犯人は複数のネットワークの複数のIPアドレスを所有しているか乗っ取っているようで、ひとつのネットワークが完全に遮断されたとわかると、別のネットワークからアクセスしてくるという手口。

もう疲れた。

これでしばらくは穏やかになるはず。

webadm
投稿日時: 2013-12-31 5:55
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2937
Re: 第三世界からのspamを遮断
逆引きの出来ない悪質なspam専用サイトからのアクセスを遮断して1ヶ月が経過後



一応の成果が得られたが、依然としてspamアクセスは無くなっていない。

アクセストップのホストhosted-by.i3d.netは実はspamerで、先月アクセスブロック作業中に最後に現れた逆引きの出来る唯一のサイトだった。逆引きが出来るので一応そのままにしていたが、どうやらこいつが親元のようで、他の逆引きが出来ない雑魚サイトはこいつの指令で同じサイトを攻撃しているように見える。雑魚をどんどん片づけていったらラスボス登場という感じ。

spamアクセスの頻度はそうとう下がったのに、親玉だけは依然として勢いがある。堂々のアクセストップである。これもブロックしようかとそれまで設定したiptablesの一覧を見てみたら驚愕の事実が発覚。

bash-3.1# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 111.73.46.251 anywhere
DROP all -- 31.41.218.138 anywhere
DROP all -- 12.216.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 91.236.74.114 anywhere
DROP all -- 38.36.89.110.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 112.101.64.107 anywhere
DROP all -- 94.102.56.238 anywhere
DROP all -- 66.117.9.229 anywhere
DROP all -- 76.164.223.83 anywhere
DROP all -- 123.164.66.69 anywhere
DROP all -- 147.226.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 192.187.122.106 anywhere
DROP all -- 192.167.97.179 anywhere
DROP all -- 146.255.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 192.187.125.92 anywhere
DROP all -- 31.41.218.136 anywhere
DROP all -- 31.41.216.146 anywhere
DROP all -- 192.151.157.157 anywhere
DROP all -- 192.187.110.202 anywhere
DROP all -- 66.117.2.38 anywhere
DROP all -- 192.187.110.211 anywhere
DROP all -- 192.187.114.59 anywhere
DROP all -- 164.78.26.117.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- hosted-by.i3d.net anywhere
DROP all -- 109.225.37.120.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 192.187.97.179 anywhere
DROP all -- 198.204.246.141 anywhere
DROP all -- 125.112.207.94 anywhere
DROP all -- 192.184.60.114 anywhere
DROP all -- 66.211.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 112.101.64.53 anywhere
DROP all -- 198.204.224.138 anywhere
DROP all -- 192.187.99.85 anywhere
DROP all -- 192.187.98.164 anywhere
DROP all -- 123.114.161.220.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 66.117.2.30 anywhere
DROP all -- 93.37.80.142 anywhere
DROP all -- hosted-by.i3d.net anywhere
DROP all -- 63.141.240.139 anywhere
DROP all -- 199.180.135.185 anywhere
DROP all -- 192.119.148.61 anywhere
DROP all -- 125.112.203.49 anywhere
DROP all -- 195.235.37.120.broad.pt.fj.dynamic.163data.com.cn anywhere
DROP all -- 159.53.89.110.broad.pt.fj.dynamic.163data.com.cn anywhere

なんと先月は全部逆引きが出来なかったはずが、一部は中国企業が保有するネットワークの動的割り当てアドレスと表示されるようになっている。それでも大部分はまだ逆引きがでけいない。

それとhosted-by.i3d.netが複数存在するのはどういうわけだ。ラスボスは複数居たのか。

逆引きしないでIPアドレスだけ表示した内容は以下の通り

bash-3.1# /sbin/iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 111.73.46.251 0.0.0.0/0
DROP all -- 31.41.218.138 0.0.0.0/0
DROP all -- 27.159.216.12 0.0.0.0/0
DROP all -- 91.236.74.114 0.0.0.0/0
DROP all -- 110.89.36.38 0.0.0.0/0
DROP all -- 112.101.64.107 0.0.0.0/0
DROP all -- 94.102.56.238 0.0.0.0/0
DROP all -- 66.117.9.229 0.0.0.0/0
DROP all -- 76.164.223.83 0.0.0.0/0
DROP all -- 123.164.66.69 0.0.0.0/0
DROP all -- 27.159.226.147 0.0.0.0/0
DROP all -- 192.187.122.106 0.0.0.0/0
DROP all -- 192.167.97.179 0.0.0.0/0
DROP all -- 27.159.255.146 0.0.0.0/0
DROP all -- 192.187.125.92 0.0.0.0/0
DROP all -- 31.41.218.136 0.0.0.0/0
DROP all -- 31.41.216.146 0.0.0.0/0
DROP all -- 192.151.157.157 0.0.0.0/0
DROP all -- 192.187.110.202 0.0.0.0/0
DROP all -- 66.117.2.38 0.0.0.0/0
DROP all -- 192.187.110.211 0.0.0.0/0
DROP all -- 192.187.114.59 0.0.0.0/0
DROP all -- 117.26.78.164 0.0.0.0/0
DROP all -- 31.204.154.156 0.0.0.0/0
DROP all -- 120.37.225.109 0.0.0.0/0
DROP all -- 192.187.97.179 0.0.0.0/0
DROP all -- 198.204.246.141 0.0.0.0/0
DROP all -- 125.112.207.94 0.0.0.0/0
DROP all -- 192.184.60.114 0.0.0.0/0
DROP all -- 27.159.211.66 0.0.0.0/0
DROP all -- 112.101.64.53 0.0.0.0/0
DROP all -- 198.204.224.138 0.0.0.0/0
DROP all -- 192.187.99.85 0.0.0.0/0
DROP all -- 192.187.98.164 0.0.0.0/0
DROP all -- 220.161.114.123 0.0.0.0/0
DROP all -- 66.117.2.30 0.0.0.0/0
DROP all -- 93.37.80.142 0.0.0.0/0
DROP all -- 31.204.152.149 0.0.0.0/0
DROP all -- 63.141.240.139 0.0.0.0/0
DROP all -- 199.180.135.185 0.0.0.0/0
DROP all -- 192.119.148.61 0.0.0.0/0
DROP all -- 125.112.203.49 0.0.0.0/0
DROP all -- 120.37.235.195 0.0.0.0/0
DROP all -- 110.89.53.159 0.0.0.0/0

これらのspam comment投稿しかしないサイトの他に、実はアクセス頻度は低いがログインだけ試みていくサイトが存在する。XoopsのようにIDとログイン名が同じ認証システムだと、認証情報の半分が既知なわけで、あとはパスワードを類推すれば当たりの時には不正ログインされてしまう。自動プログラムで目立たないように沢山のサイトを順番に辞書攻撃していけば、辞書に載っているような単語をパスワードにしていたところは侵入されてしまうということになる。

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

投稿するにはまず登録を
 
サイト内検索