サイトのアクセスログ解析

本日はサイト運営に関するセキュリティの話です。（自分のサイトを持っている方向けの話です。）

当サイトは開設後１年3ヶ月ですが、お恥ずかしながら今回初めてアクセスログを見てみました。

驚きの事実が発覚しましたのでご報告です。

当サイトはConoHa WINGのレンタルサーバーを使用しています。よってサーバー設定の図解説明もこれに準じます。

アクセスログの取得

ConoHaサイトのコントロールパネルにログインし、

左欄「サイト管理」ーその左列「アクセス解析」ー「ログ」タブを開きます。

「エラーログ」を開くと、サイトにアクセスしようとしてエラーが起こった記録が表示されます。

こんな感じ。

何やら同一のIPから、存在しないページを表示する要求が、短時間の間に非常に多数来て、そのせいでエラーが出まくっています。

上のログでは、 ” TEXT ” とか、 ” ID3 ” とか存在しないページの表示を要求されています。

それでは早速、このIPを~~肴にして遊んでみます~~調べてみます。

今回は ” Abuse IP DB ” という悪性IPを集めているデータベースで検索してみます。

下図が ” Abuse IP DB ” のトップページです。(最初は自分のIPv6アドレスが検索窓に入っていました。)

当サイト上で大量にエラーを引き起こした犯人のIPを検索してみます。

その結果が下図です。100％悪者だ！という結果が出ています。

488件の報告が上がっており、悪人の確率は100％とのこと。

サーバーの位置はオランダです。最新の報告は１時間前。

フランスの報告者からは、「存在しないファイルにアホほどアクセスが殺到した」とのこと。

ShodanやCensysで調べても、サーバーはオランダ・アムステルダムにあるようです。

おそらくサイト内の「隠しページ」がないかを探っているものと思われます。

どこからもリンクを張られていない孤立した隠しページが実は存在して、そこには何らかの秘密情報（あわよくばパスワードなど）があるのではと期待して、それを狙ってアクセスを試みていることが推察されます。

とりあえず、このIPはBAN（出禁）にしました。

「サイト管理」ー「サイトセキュリティ」ー「アクセス制限」タブから、

ブラックリスト欄に該当IPを記載します。

ついでに、アイルランドとシンガポールからの不正アクセス元がありましたので、これもブロックしておきました。

犯人はサイトの持ち主とは別に居て、サイトを踏み台にした、おそらくbotによる、wordlistに基づいた反復アクセス攻撃と思われます。

対策は自分のサイト内に孤立ページを個人メモ代わりに作らないことでしょう。

また、自分のサイトのアクセスログは時々チェックするものだと身にしみました。

<PR>