【中国】 不正アクセス目的のクローラーを吹き飛ばす方法 【ロシア】

前ページまでのあらすじ

さくらのレンタルサーバphp.cgi大量のエラーを吐いているのを発見した。

そこで、php.cgiをリネームしたら、その大量のエラーは治まった。
でも、それ以降気になるものがエラーログで目につくようになった。
それは、不正アクセス目的のクローラーの存在だった。

不正アクセス目的のクローラーってどんなの?

WordpressMovableTypeなどのアカウント情報重要なシステム情報の書かれたファイルを不正にアクセスして大切な情報を盗み取ったり情報を書き換えて悪さをしたり、変なファイルを設置したりすることを不正アクセスと言います。

でも、普通はなかなか不正アクセスは行えません。
(普通は不正アクセスは起きにくいですが、ログイン情報やパスワードが 『 推察されやすいもの 』 だったり 『 簡単なもの 』 だったりすると、コンピューターで数千回、数万回総当りすることで突破されてしまう可能性があります)

不正アクセスを行うには、取っ掛かりが必要だったりします。
その取っ掛かりを利用して不正アクセスを行います。



例えば、Worpdpress の wp-config.php です。
これはログイン情報やデータベースの名前などが書かれた最重要なファイルです。

もし、不正アクセスしようとしている輩にこの情報を盗まれてしまうと、やりたい放題にされてしまいます。
(コードの書き換え・コードの追加・不正なファイルの設置など)

その取っ掛かりを探し回っている不正アクセス目的のクローラーは、今もなお、インターネットの網の上をグルグルと回り続けています。


不正アクセス目的のクローラーをエラーログで見つけた

さくらのレンタルサーバーはエラーログを見れるのですが、そのエラーログの中には、存在しないファイル存在していてもアクセスして欲しくファイル何度も何度も接続してエラーを吐き出しているものがあります。

で、エラーログに吐き出されている不審なIPを調べてみると、検索のクローラーではない怪しげな国の怪しげなホストからのものだったりします。

しかも、重要な情報の書かれていると思しきシステムファイルを狙ってアクセスしているのがバレバレなアクセスの仕方をしているものが多いです。
(/admin/とか、wp-config.php とか /install/ とかそう言うのを狙って、決め打ちでアクセスしてくる)

php.cgiエラーが出まくっていた時には、こう言う不正アクセスのエラーが頻発していても、これらのエラーがすぐに流されてしまったので気が付かなかったのですが、php.cgiのエラーがストップしてからは、これらのエラーが目につくようになり、今度はこの不正アクセスのエラーが他の重要なエラー情報を流してしまうようになってたので、対策をとることにしました。


不正アクセスのエラーを吐き出させないようにする方法

wp-config.php を設置しなければ、不正アクセスが起きないと言うわけではありません。
wp-config.php を設置しいなくても不正アクセスしてきます。

また、存在の確認ができなければ、そこで引き下がるわけでなく、念の為に何度もアクセスしてくることが多いです。
(一回見つからなきゃどっかいけーヽ(#゚Д゚)ノ┌┛)`ω゚)・;')

そんなわけで、エラーログが大量に吐き出されてしまって困っていたので、ちょっと対策をとってみることにしました。


不正アクセスしてきた輩を吹き飛ばす

まずは、htaccessファイルに以下のように書き加えます。
これで、不正アクセスしてきたクローラーリダイレクトで吹き飛ばすことができます。

# フォルダへの不正アクセスをリダイレクト
Redirect /WEBサイトのフォルダ名 https://●●●.▲▲▲

# ファイルへの不正アクセスをリダイレクト
Redirect /ファイル名.php https://●●●.▲▲▲
Redirect /ファイル名.html https://●●●.▲▲▲

# 下の階層のファイルへの不正アクセスをリダイレクト
Redirect /WEBサイトのフォルダ名/ファイル名.php https://●●●.▲▲▲
Redirect /WEBサイトのフォルダ名/ファイル名.html https://●●●.▲▲▲

https://●●●.▲▲▲どこでもいいです。

ただし、自分のサイトやブログへリダイレクトして吹き飛ばす場合は、設定を間違えると無限ループしてしまう可能性がありますし、契約中のサーバーの負荷がかかってしまう可能性もあるので、自分のサイトやブログのURLを書く場合は要注意です。

また、フォルダ名なしのファイルへの不正アクセスをリダイレクトする場合、同名のファイルが他にある場合、同名の正常なファイルへのアクセスまでリダイレクトされますので、こちらについても要注意です。

これで大半の不正アクセスのエラーログは消えます。
ただし、全部消えるわけではなく、ごく一部は残ってしまいます。
(個数はかなり微々たるものになりますが。(;´∀`))

リダイレクト拒否の設定がされている不正アクセスのクローラーだからエラーになるのか、さくらのレンタルサーバーの方で拒否設定の入っているIPから接続されているからエラーになるのかわかりませんが、全部が消えるわけではないです。

それでも、こうやってリダイレクトでエラーを吹き飛ばしてしまうと、エラーログにエラーが吐き出されないのでエラーログが綺麗になりますし、不正アクセスのクローラーの巡回回数を大幅に減らせます。


サーバーへの負荷が激増した?

これをやった後、エラーログは綺麗になったんですが、php.cgiをリネームして通るようにしたことなどもあり、サーバーへの負荷が激増しました。

ユニークユーザーの数が激増してしまったのです。
そして、お約束のように503エラーの回数も激増しました。

Google Analyticsを見ても、実際に訪問した実ユーザーが激増しているわけではありません。

じゃあなんだろ?って思った時に、思い当たる節はphp.cgiのリネーム不正アクセスのリダイレクトしかありませんでした。(´・_・`)

要は、本来なら拒否るべきクローラ達を許可しているので、目に見えないアクセスが激増したわけです。

と言うわけで、エラーログの中の程度修正しなければならないエラーを綺麗にしたところで、これらの設定を元に戻し、サーバーへの負荷を軽減しようかと思います。
(php.cgiのエラーはクローラーが吐き出すエラーだから悩むなあ。。。 (゚◇゚ ; ))


次ページ

【不正アクセス防止】 ftpaccessとレンタルサーバー

前ページ

【さくらサーバー】エラーログでphp.cgiエラーが出るのを止める方法

広告