スレッド表示 | 古いものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
webadm | 投稿日時: 2013-12-31 14:55 |
Webmaster 登録日: 2004-11-7 居住地: 投稿: 3068 |
Re: 第三世界からのspamを遮断 逆引きの出来ない悪質なspam専用サイトからのアクセスを遮断して1ヶ月が経過後
一応の成果が得られたが、依然としてspamアクセスは無くなっていない。 アクセストップのホストhosted-by.i3d.netは実はspamerで、先月アクセスブロック作業中に最後に現れた逆引きの出来る唯一のサイトだった。逆引きが出来るので一応そのままにしていたが、どうやらこいつが親元のようで、他の逆引きが出来ない雑魚サイトはこいつの指令で同じサイトを攻撃しているように見える。雑魚をどんどん片づけていったらラスボス登場という感じ。 spamアクセスの頻度はそうとう下がったのに、親玉だけは依然として勢いがある。堂々のアクセストップである。これもブロックしようかとそれまで設定したiptablesの一覧を見てみたら驚愕の事実が発覚。 bash-3.1# /sbin/iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 111.73.46.251 anywhere DROP all -- 31.41.218.138 anywhere DROP all -- 12.216.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 91.236.74.114 anywhere DROP all -- 38.36.89.110.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 112.101.64.107 anywhere DROP all -- 94.102.56.238 anywhere DROP all -- 66.117.9.229 anywhere DROP all -- 76.164.223.83 anywhere DROP all -- 123.164.66.69 anywhere DROP all -- 147.226.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 192.187.122.106 anywhere DROP all -- 192.167.97.179 anywhere DROP all -- 146.255.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 192.187.125.92 anywhere DROP all -- 31.41.218.136 anywhere DROP all -- 31.41.216.146 anywhere DROP all -- 192.151.157.157 anywhere DROP all -- 192.187.110.202 anywhere DROP all -- 66.117.2.38 anywhere DROP all -- 192.187.110.211 anywhere DROP all -- 192.187.114.59 anywhere DROP all -- 164.78.26.117.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- hosted-by.i3d.net anywhere DROP all -- 109.225.37.120.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 192.187.97.179 anywhere DROP all -- 198.204.246.141 anywhere DROP all -- 125.112.207.94 anywhere DROP all -- 192.184.60.114 anywhere DROP all -- 66.211.159.27.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 112.101.64.53 anywhere DROP all -- 198.204.224.138 anywhere DROP all -- 192.187.99.85 anywhere DROP all -- 192.187.98.164 anywhere DROP all -- 123.114.161.220.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 66.117.2.30 anywhere DROP all -- 93.37.80.142 anywhere DROP all -- hosted-by.i3d.net anywhere DROP all -- 63.141.240.139 anywhere DROP all -- 199.180.135.185 anywhere DROP all -- 192.119.148.61 anywhere DROP all -- 125.112.203.49 anywhere DROP all -- 195.235.37.120.broad.pt.fj.dynamic.163data.com.cn anywhere DROP all -- 159.53.89.110.broad.pt.fj.dynamic.163data.com.cn anywhere なんと先月は全部逆引きが出来なかったはずが、一部は中国企業が保有するネットワークの動的割り当てアドレスと表示されるようになっている。それでも大部分はまだ逆引きがでけいない。 それとhosted-by.i3d.netが複数存在するのはどういうわけだ。ラスボスは複数居たのか。 逆引きしないでIPアドレスだけ表示した内容は以下の通り bash-3.1# /sbin/iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 111.73.46.251 0.0.0.0/0 DROP all -- 31.41.218.138 0.0.0.0/0 DROP all -- 27.159.216.12 0.0.0.0/0 DROP all -- 91.236.74.114 0.0.0.0/0 DROP all -- 110.89.36.38 0.0.0.0/0 DROP all -- 112.101.64.107 0.0.0.0/0 DROP all -- 94.102.56.238 0.0.0.0/0 DROP all -- 66.117.9.229 0.0.0.0/0 DROP all -- 76.164.223.83 0.0.0.0/0 DROP all -- 123.164.66.69 0.0.0.0/0 DROP all -- 27.159.226.147 0.0.0.0/0 DROP all -- 192.187.122.106 0.0.0.0/0 DROP all -- 192.167.97.179 0.0.0.0/0 DROP all -- 27.159.255.146 0.0.0.0/0 DROP all -- 192.187.125.92 0.0.0.0/0 DROP all -- 31.41.218.136 0.0.0.0/0 DROP all -- 31.41.216.146 0.0.0.0/0 DROP all -- 192.151.157.157 0.0.0.0/0 DROP all -- 192.187.110.202 0.0.0.0/0 DROP all -- 66.117.2.38 0.0.0.0/0 DROP all -- 192.187.110.211 0.0.0.0/0 DROP all -- 192.187.114.59 0.0.0.0/0 DROP all -- 117.26.78.164 0.0.0.0/0 DROP all -- 31.204.154.156 0.0.0.0/0 DROP all -- 120.37.225.109 0.0.0.0/0 DROP all -- 192.187.97.179 0.0.0.0/0 DROP all -- 198.204.246.141 0.0.0.0/0 DROP all -- 125.112.207.94 0.0.0.0/0 DROP all -- 192.184.60.114 0.0.0.0/0 DROP all -- 27.159.211.66 0.0.0.0/0 DROP all -- 112.101.64.53 0.0.0.0/0 DROP all -- 198.204.224.138 0.0.0.0/0 DROP all -- 192.187.99.85 0.0.0.0/0 DROP all -- 192.187.98.164 0.0.0.0/0 DROP all -- 220.161.114.123 0.0.0.0/0 DROP all -- 66.117.2.30 0.0.0.0/0 DROP all -- 93.37.80.142 0.0.0.0/0 DROP all -- 31.204.152.149 0.0.0.0/0 DROP all -- 63.141.240.139 0.0.0.0/0 DROP all -- 199.180.135.185 0.0.0.0/0 DROP all -- 192.119.148.61 0.0.0.0/0 DROP all -- 125.112.203.49 0.0.0.0/0 DROP all -- 120.37.235.195 0.0.0.0/0 DROP all -- 110.89.53.159 0.0.0.0/0 これらのspam comment投稿しかしないサイトの他に、実はアクセス頻度は低いがログインだけ試みていくサイトが存在する。XoopsのようにIDとログイン名が同じ認証システムだと、認証情報の半分が既知なわけで、あとはパスワードを類推すれば当たりの時には不正ログインされてしまう。自動プログラムで目立たないように沢山のサイトを順番に辞書攻撃していけば、辞書に載っているような単語をパスワードにしていたところは侵入されてしまうということになる。 |
webadm | 投稿日時: 2013-11-24 22:07 |
Webmaster 登録日: 2004-11-7 居住地: 投稿: 3068 |
第三世界からのspamを遮断 どうも夏頃からサーバーが過負荷に陥る頻度が増えて原因が特定できていなかったが、最新のアクセス統計を見たら驚愕の事実が発覚
なんと逆引きが出来ない第三社会の複数のネットワークからのトラフィックが大半を占めていることが判明。 ログを見ると休みなく記事の閲覧とスパムコメントの投稿シーケンスを繰り返している。しかも同時期に複数のネットワークからである。 一体誰得のスパムコメントをまき散らすだけでなく、サーバーに負荷をかけて他のネットワークからのアクセスを阻害しているので、容赦なくそれらの第三社会ネットワークを遮断することに。 ひとつのIPアドレスを遮断しても、自動的に同じネットワークの別のIPアドレスからアクセスしてくるような仕組みになっており、ネットワークそのものを遮断する必要があった。また犯人は複数のネットワークの複数のIPアドレスを所有しているか乗っ取っているようで、ひとつのネットワークが完全に遮断されたとわかると、別のネットワークからアクセスしてくるという手口。 もう疲れた。 これでしばらくは穏やかになるはず。 |
スレッド表示 | 古いものから | 前のトピック | 次のトピック | トップ |
投稿するにはまず登録を | |