先日から、本サイトの管理ファイルへのアクセスが頻発しておりました。この対応に少々時間を取られてしまったのですが、本日はこの対応について、簡単にご紹介いたします。
何が起こっているか
本サイトは、非常に一般的なWordPressを用いており、攻撃手口もよく知られているのでしょう、多くの方がいろいろな攻撃を試みるのも、わからなくはありません。でもわからないことは、それがばれないと思われているらしいことなのですね。
まず基本知識として、大抵のサイトは「ログ」というものを取っており、何時、誰が、何をしたか、という記録が残されている。
何時、というのは簡単で、年月日時分秒がきちんと記録されております。
誰が、というのはIPアドレスなのですが、これは、ドメイン名に変換して表示されています。一部のサイトはドメイン名に変換されないのですが、Whoisというサービスを利用しますと、組織名やアクセス場所、不正利用の際の報告先などを知ることができます。まあ、報告先は、”postmaster”というアカウントに連絡すれば、そのサイトの運営責任者に連絡することができます。
何をしたかは、参照した記事や、実行しようとしたサービス(loginなど!)、あるいはアクセスしたファイル名がわかり、さらに詳細を表示させますと、ここに何を送り込んだかも知ることができます。
対応
以前はloginを試みる方が頻発して、これにはさすがに管理者の方に連絡して対処をお願いしたのですが、今回は管理ファイルへのアクセスで、何やらデータを送り込んでいる人もおられる様子。まあ、あまり詳しい手口はここでは書きませんが、ネット情報では、脆弱性を抱えたプラグインを攻撃することでサイトに悪さできることがあると。
今回は、基本はファイルを見ているだけなので、操作を試みようという”login”ほどひどいことをしているわけではありません。まあ、たまに攻撃に成功するとしても、100の内1つ程度ということで、さしあたり、しかるべきプラグインを入れてセキュリティレベルを強化しておけば、直ちにシステムに障害が出るということもないでしょう。
というわけで、今回はファイヤウォールを強化して、悪さをするユーザをブロックすることといたしました。なお、後で何らかの問題が生じた際の参考とするため、ユーザのIPアドレスとアクセス時刻は記録しております。ブロックはIPアドレスで行っていますので、だれが不正利用者かは、最初から記録が残っているのですが。
今後も不正利用が発見されたら、このリストに追加することとします。また、問題が発生した際はきちんと対応がとれるように、監視と記録は怠らないようにいたします。
まあ、こう書きましても、すでにブロックされてしまった方には読むことができないのですが、まだ読むことのできる方には、先々、変なことは考えないよう、よろしくお願いいたします。