まえがき
2月頃から引き続き、かなり悪質な攻撃に晒されています。運営サイトのHTMLファイルへのDDosを防ぐ仕組みを作ったら、今度は標的をコメントCGIに変更してきたっぽい。
いや、あの、、、コメントCGIは殆どアクセスの無いファイルだから、、、異常なアクセスがあった場合の解析が凄くやり易い。。。。
今さらココ(コメントcgi)を攻撃してくるとは思わなかった。
過去にきちんと対策した箇所なので、異様なログだけが残りました。対策してなかったら、かなり恐ろしい事になってた(汗)
いちおうMovableTypeのスパムコメント対策ページです。
ブログのコメント欄や各種掲示板などは、本格的にスパム業者に狙われると、Botなどのプログラム処理によって、とんでもない量のスパムを撒き散らされる危険性があります。
酷いスパム業者に狙われると、1分間に30回以上のスパムコメントを貰います。レン鯖でcgiやphpを走らせている場合だと、軽く死ねるレベルです。
8分間で240個のスパムコメント
3月18日、当サイトがどこかのスパム業者にロックオンされたらしく、とんでもない量のスパム攻撃を受けていました。
以下、3月18日にコメントCGIにアクセスしてきたIP一覧。
17時からの8分間で、異なるIPから一気に240件ものコメントを付けようとしています。ログを詳細に見てみると、1秒間に7つの異なるIPから同時スパムされている時間帯もあり、もの凄い悪意を感じます。
| No. | 日付 | 時間 | IPアドレス |
| 2011/3/18 | 14:14:37 | 91.201.66.76 | |
| 2011/3/18 | 15:35:55 | 91.201.66.76 | |
| 2011/3/18 | 16:56:43 | 91.201.66.76 | |
| 1 | 2011/3/18 | 17:00:27 | 212.89.23.1 |
| 2 | 2011/3/18 | 17:00:29 | 217.117.28.200 |
| 3 | 2011/3/18 | 17:00:32 | 186.42.183.5 |
| 4 | 2011/3/18 | 17:00:32 | 147.172.145.199 |
| 5 | 2011/3/18 | 17:00:38 | 67.19.7.114 |
| 6 | 2011/3/18 | 17:00:40 | 137.189.98.212 |
| 7 | 2011/3/18 | 17:00:40 | 184.107.172.98 |
| 8 | 2011/3/18 | 17:00:41 | 205.202.120.216 |
| 9 | 2011/3/18 | 17:00:46 | 121.37.58.150 |
| 10 | 2011/3/18 | 17:00:48 | 184.72.223.120 |
| 11 | 2011/3/18 | 17:00:48 | 61.19.252.148 |
| 12 | 2011/3/18 | 17:00:48 | 184.168.87.250 |
| 13 | 2011/3/18 | 17:00:48 | 115.85.145.68 |
| 14 | 2011/3/18 | 17:00:50 | 14.39.157.205 |
| 15 | 2011/3/18 | 17:00:50 | 94.33.13.18 |
| 16 | 2011/3/18 | 17:00:51 | 210.6.34.186 |
| 17 | 2011/3/18 | 17:00:51 | 65.49.33.65 |
| 18 | 2011/3/18 | 17:00:52 | 122.169.112.140 |
| 19 | 2011/3/18 | 17:00:52 | 203.80.252.34 |
| 20 | 2011/3/18 | 17:00:53 | 209.59.127.78 |
| 21 | 2011/3/18 | 17:00:54 | 202.83.168.228 |
| 22 | 2011/3/18 | 17:00:54 | 186.42.183.5 |
| 23 | 2011/3/18 | 17:00:54 | 200.174.110.123 |
| 24 | 2011/3/18 | 17:00:56 | 72.4.71.66 |
| 25 | 2011/3/18 | 17:00:57 | 78.86.125.124 |
| 26 | 2011/3/18 | 17:00:59 | 221.174.16.60 |
| 27 | 2011/3/18 | 17:01:01 | 212.89.23.1 |
| 28 | 2011/3/18 | 17:01:01 | 12.0.71.177 |
| 29 | 2011/3/18 | 17:01:01 | 217.117.28.200 |
| 30 | 2011/3/18 | 17:01:02 | 151.97.15.4 |
| 31 | 2011/3/18 | 17:01:03 | 114.108.192.8 |
| 32 | 2011/3/18 | 17:01:03 | 74.117.224.141 |
| 33 | 2011/3/18 | 17:01:03 | 208.71.69.50 |
| 34 | 2011/3/18 | 17:01:03 | 208.188.3.80 |
| 35 | 2011/3/18 | 17:01:03 | 213.239.197.15 |
| 36 | 2011/3/18 | 17:01:04 | 189.180.56.220 |
| 37 | 2011/3/18 | 17:01:04 | 222.188.173.81 |
| 38 | 2011/3/18 | 17:01:05 | 218.203.176.126 |
| 39 | 2011/3/18 | 17:01:06 | 84.33.199.124 |
| 40 | 2011/3/18 | 17:01:09 | 114.24.177.167 |
| 41 | 2011/3/18 | 17:01:09 | 123.242.153.113 |
| 42 | 2011/3/18 | 17:01:09 | 72.4.71.66 |
| 43 | 2011/3/18 | 17:01:10 | 59.165.249.102 |
| 44 | 2011/3/18 | 17:01:11 | 218.174.154.125 |
| 45 | 2011/3/18 | 17:01:14 | 118.102.144.10 |
| 46 | 2011/3/18 | 17:01:16 | 206.65.178.140 |
| 47 | 2011/3/18 | 17:01:19 | 125.73.248.55 |
| 48 | 2011/3/18 | 17:01:19 | 212.0.145.162 |
| 49 | 2011/3/18 | 17:01:20 | 184.95.38.210 |
| 50 | 2011/3/18 | 17:01:20 | 72.4.71.66 |
| 51 | 2011/3/18 | 17:01:22 | 93.63.137.50 |
| 52 | 2011/3/18 | 17:01:22 | 88.255.36.50 |
| 53 | 2011/3/18 | 17:01:25 | 111.249.175.41 |
| 54 | 2011/3/18 | 17:01:25 | 115.160.178.253 |
| 55 | 2011/3/18 | 17:01:26 | 14.39.157.205 |
| 56 | 2011/3/18 | 17:01:26 | 190.190.224.163 |
| 57 | 2011/3/18 | 17:01:27 | 221.174.16.60 |
| 58 | 2011/3/18 | 17:01:27 | 202.51.111.82 |
| 59 | 2011/3/18 | 17:01:27 | 123.242.153.113 |
| 60 | 2011/3/18 | 17:01:27 | 210.101.131.231 |
| 61 | 2011/3/18 | 17:01:27 | 72.4.71.66 |
| 62 | 2011/3/18 | 17:01:28 | 79.125.120.127 |
| 63 | 2011/3/18 | 17:01:28 | 121.145.120.165 |
| 64 | 2011/3/18 | 17:01:28 | 200.28.4.138 |
| 65 | 2011/3/18 | 17:01:28 | 114.41.18.107 |
| 66 | 2011/3/18 | 17:01:28 | 123.1.69.219 |
| 67 | 2011/3/18 | 17:01:30 | 118.166.68.180 |
| 68 | 2011/3/18 | 17:01:30 | 184.95.38.210 |
| 69 | 2011/3/18 | 17:01:30 | 85.254.9.206 |
| 70 | 2011/3/18 | 17:01:31 | 38.125.47.254 |
| 71 | 2011/3/18 | 17:01:32 | 72.53.89.69 |
| 72 | 2011/3/18 | 17:01:32 | 212.77.202.84 |
| 73 | 2011/3/18 | 17:01:32 | 212.77.202.84 |
| 74 | 2011/3/18 | 17:01:33 | 87.72.205.226 |
| 75 | 2011/3/18 | 17:01:33 | 87.72.205.226 |
| 76 | 2011/3/18 | 17:01:33 | 72.4.71.66 |
| 77 | 2011/3/18 | 17:01:34 | 134.47.109.183 |
| 78 | 2011/3/18 | 17:01:35 | 123.242.153.113 |
| 79 | 2011/3/18 | 17:01:35 | 95.116.51.38 |
| 80 | 2011/3/18 | 17:01:35 | 58.215.78.157 |
| 81 | 2011/3/18 | 17:01:35 | 14.136.194.138 |
| 82 | 2011/3/18 | 17:01:36 | 72.4.71.66 |
| 83 | 2011/3/18 | 17:01:37 | 134.47.109.184 |
| 84 | 2011/3/18 | 17:01:38 | 221.174.16.60 |
| 85 | 2011/3/18 | 17:01:38 | 86.96.229.88 |
| 86 | 2011/3/18 | 17:01:38 | 125.115.90.190 |
| 87 | 2011/3/18 | 17:01:38 | 46.137.122.245 |
| 88 | 2011/3/18 | 17:01:38 | 125.115.90.190 |
| 89 | 2011/3/18 | 17:01:39 | 212.121.200.150 |
| 90 | 2011/3/18 | 17:01:39 | 114.24.109.185 |
| 91 | 2011/3/18 | 17:01:39 | 72.53.89.69 |
| 92 | 2011/3/18 | 17:01:39 | 213.251.186.66 |
| 93 | 2011/3/18 | 17:01:40 | 189.22.190.230 |
| 94 | 2011/3/18 | 17:01:40 | 67.201.122.11 |
| 95 | 2011/3/18 | 17:01:40 | 202.138.55.226 |
| 96 | 2011/3/18 | 17:01:40 | 78.93.242.66 |
| 97 | 2011/3/18 | 17:01:41 | 65.49.33.65 |
| 98 | 2011/3/18 | 17:01:41 | 195.130.197.135 |
| 99 | 2011/3/18 | 17:01:41 | 122.166.114.190 |
| 100 | 2011/3/18 | 17:01:43 | 201.173.47.121 |
| 101 | 2011/3/18 | 17:01:43 | 67.201.122.11 |
| 102 | 2011/3/18 | 17:01:43 | 221.2.209.101 |
| 103 | 2011/3/18 | 17:01:43 | 41.160.7.134 |
| 104 | 2011/3/18 | 17:01:43 | 93.97.175.61 |
| 105 | 2011/3/18 | 17:01:44 | 174.133.230.40 |
| 106 | 2011/3/18 | 17:01:44 | 58.215.78.157 |
| 107 | 2011/3/18 | 17:01:44 | 72.4.71.66 |
| 108 | 2011/3/18 | 17:01:44 | 81.22.99.142 |
| 109 | 2011/3/18 | 17:01:44 | 122.234.118.31 |
| 110 | 2011/3/18 | 17:01:44 | 134.47.109.184 |
| 111 | 2011/3/18 | 17:01:45 | 61.164.40.151 |
| 112 | 2011/3/18 | 17:01:45 | 194.247.35.2 |
| 113 | 2011/3/18 | 17:01:45 | 125.115.90.190 |
| 114 | 2011/3/18 | 17:01:46 | 151.1.148.128 |
| 115 | 2011/3/18 | 17:01:46 | 114.25.55.20 |
| 116 | 2011/3/18 | 17:01:46 | 195.130.197.135 |
| 117 | 2011/3/18 | 17:01:47 | 217.117.28.200 |
| 118 | 2011/3/18 | 17:01:48 | 78.192.65.83 |
| 119 | 2011/3/18 | 17:01:49 | 84.232.140.72 |
| 120 | 2011/3/18 | 17:01:49 | 91.143.58.1 |
| 121 | 2011/3/18 | 17:01:50 | 117.240.242.115 |
| 122 | 2011/3/18 | 17:01:50 | 208.188.3.80 |
| 123 | 2011/3/18 | 17:01:50 | 213.248.47.87 |
| 124 | 2011/3/18 | 17:01:50 | 122.241.136.132 |
| 125 | 2011/3/18 | 17:01:50 | 212.89.23.1 |
| 126 | 2011/3/18 | 17:01:51 | 59.165.249.102 |
| 127 | 2011/3/18 | 17:01:51 | 212.89.23.1 |
| 128 | 2011/3/18 | 17:01:51 | 178.33.26.119 |
| 129 | 2011/3/18 | 17:01:52 | 212.85.44.12 |
| 130 | 2011/3/18 | 17:01:53 | 174.37.138.181 |
| 131 | 2011/3/18 | 17:01:54 | 178.63.223.168 |
| 132 | 2011/3/18 | 17:01:54 | 123.242.153.113 |
| 133 | 2011/3/18 | 17:01:55 | 200.165.107.34 |
| 134 | 2011/3/18 | 17:01:55 | 202.28.66.115 |
| 135 | 2011/3/18 | 17:01:56 | 221.2.209.101 |
| 136 | 2011/3/18 | 17:01:56 | 201.238.200.13 |
| 137 | 2011/3/18 | 17:01:57 | 212.49.106.212 |
| 138 | 2011/3/18 | 17:01:57 | 85.194.127.10 |
| 139 | 2011/3/18 | 17:01:58 | 203.191.180.69 |
| 140 | 2011/3/18 | 17:01:58 | 61.187.186.150 |
| 141 | 2011/3/18 | 17:01:58 | 90.182.106.162 |
| 142 | 2011/3/18 | 17:01:59 | 124.135.247.97 |
| 143 | 2011/3/18 | 17:01:59 | 60.28.101.10 |
| 144 | 2011/3/18 | 17:01:59 | 82.137.248.4 |
| 145 | 2011/3/18 | 17:01:59 | 50.16.161.226 |
| 146 | 2011/3/18 | 17:02:00 | 117.240.242.115 |
| 147 | 2011/3/18 | 17:02:01 | 212.89.23.1 |
| 148 | 2011/3/18 | 17:02:02 | 109.205.50.8 |
| 149 | 2011/3/18 | 17:02:02 | 178.162.105.21 |
| 150 | 2011/3/18 | 17:02:04 | 116.72.143.151 |
| 151 | 2011/3/18 | 17:02:05 | 77.254.86.63 |
| 152 | 2011/3/18 | 17:02:05 | 207.252.1.194 |
| 153 | 2011/3/18 | 17:02:05 | 134.47.109.182 |
| 154 | 2011/3/18 | 17:02:06 | 93.167.194.251 |
| 155 | 2011/3/18 | 17:02:07 | 213.197.239.196 |
| 156 | 2011/3/18 | 17:02:07 | 124.65.143.242 |
| 157 | 2011/3/18 | 17:02:08 | 80.156.84.187 |
| 158 | 2011/3/18 | 17:02:09 | 173.192.60.3 |
| 159 | 2011/3/18 | 17:02:09 | 212.89.23.1 |
| 160 | 2011/3/18 | 17:02:09 | 195.135.148.103 |
| 161 | 2011/3/18 | 17:02:10 | 128.249.1.206 |
| 162 | 2011/3/18 | 17:02:10 | 168.167.20.69 |
| 163 | 2011/3/18 | 17:02:10 | 64.202.101.154 |
| 164 | 2011/3/18 | 17:02:11 | 212.49.106.212 |
| 165 | 2011/3/18 | 17:02:11 | 202.108.5.35 |
| 166 | 2011/3/18 | 17:02:11 | 74.117.224.141 |
| 167 | 2011/3/18 | 17:02:11 | 212.0.145.162 |
| 168 | 2011/3/18 | 17:02:11 | 61.63.107.26 |
| 169 | 2011/3/18 | 17:02:11 | 64.210.195.182 |
| 170 | 2011/3/18 | 17:02:11 | 114.24.109.185 |
| 171 | 2011/3/18 | 17:02:12 | 195.222.143.205 |
| 172 | 2011/3/18 | 17:02:12 | 94.177.41.146 |
| 173 | 2011/3/18 | 17:02:12 | 134.47.109.185 |
| 174 | 2011/3/18 | 17:02:12 | 79.125.120.127 |
| 175 | 2011/3/18 | 17:02:13 | 123.242.153.97 |
| 176 | 2011/3/18 | 17:02:13 | 212.89.23.1 |
| 177 | 2011/3/18 | 17:02:13 | 60.25.241.158 |
| 178 | 2011/3/18 | 17:02:13 | 173.65.190.34 |
| 179 | 2011/3/18 | 17:02:14 | 111.249.175.41 |
| 180 | 2011/3/18 | 17:02:14 | 114.40.240.205 |
| 181 | 2011/3/18 | 17:02:14 | 83.142.160.103 |
| 182 | 2011/3/18 | 17:02:14 | 117.240.242.115 |
| 183 | 2011/3/18 | 17:02:15 | 81.4.152.117 |
| 184 | 2011/3/18 | 17:02:15 | 118.166.68.180 |
| 185 | 2011/3/18 | 17:02:15 | 212.77.202.84 |
| 186 | 2011/3/18 | 17:02:15 | 92.43.115.143 |
| 187 | 2011/3/18 | 17:02:16 | 46.23.72.87 |
| 188 | 2011/3/18 | 17:02:16 | 209.221.131.75 |
| 189 | 2011/3/18 | 17:02:16 | 212.49.106.212 |
| 190 | 2011/3/18 | 17:02:17 | 134.47.109.182 |
| 191 | 2011/3/18 | 17:02:17 | 188.138.97.9 |
| 192 | 2011/3/18 | 17:02:18 | 60.28.101.10 |
| 193 | 2011/3/18 | 17:02:19 | 98.254.172.109 |
| 194 | 2011/3/18 | 17:02:20 | 89.207.94.202 |
| 195 | 2011/3/18 | 17:02:23 | 123.1.69.219 |
| 196 | 2011/3/18 | 17:02:24 | 134.47.109.183 |
| 197 | 2011/3/18 | 17:02:27 | 41.72.215.106 |
| 198 | 2011/3/18 | 17:02:30 | 221.197.158.174 |
| 199 | 2011/3/18 | 17:02:31 | 194.116.198.179 |
| 200 | 2011/3/18 | 17:02:32 | 67.216.175.132 |
| 201 | 2011/3/18 | 17:02:33 | 128.249.1.194 |
| 202 | 2011/3/18 | 17:02:33 | 41.190.16.17 |
| 203 | 2011/3/18 | 17:02:36 | 70.87.134.122 |
| 204 | 2011/3/18 | 17:02:37 | 116.217.157.20 |
| 205 | 2011/3/18 | 17:02:37 | 58.137.217.251 |
| 206 | 2011/3/18 | 17:02:37 | 184.106.241.169 |
| 207 | 2011/3/18 | 17:02:39 | 58.97.35.132 |
| 208 | 2011/3/18 | 17:02:39 | 109.205.48.142 |
| 209 | 2011/3/18 | 17:02:40 | 90.36.244.203 |
| 210 | 2011/3/18 | 17:02:41 | 69.50.211.167 |
| 211 | 2011/3/18 | 17:02:41 | 203.80.252.34 |
| 212 | 2011/3/18 | 17:02:42 | 80.156.84.187 |
| 213 | 2011/3/18 | 17:02:42 | 63.70.3.56 |
| 214 | 2011/3/18 | 17:02:42 | 202.6.96.31 |
| 215 | 2011/3/18 | 17:02:43 | 74.117.224.141 |
| 216 | 2011/3/18 | 17:02:44 | 114.41.175.241 |
| 217 | 2011/3/18 | 17:02:45 | 134.47.109.185 |
| 218 | 2011/3/18 | 17:02:46 | 187.111.192.5 |
| 219 | 2011/3/18 | 17:02:46 | 74.67.75.188 |
| 220 | 2011/3/18 | 17:02:47 | 93.63.174.168 |
| 221 | 2011/3/18 | 17:02:47 | 61.63.107.26 |
| 222 | 2011/3/18 | 17:02:48 | 134.47.109.182 |
| 223 | 2011/3/18 | 17:02:48 | 186.194.5.66 |
| 224 | 2011/3/18 | 17:02:49 | 123.1.69.219 |
| 225 | 2011/3/18 | 17:02:51 | 123.242.153.97 |
| 226 | 2011/3/18 | 17:02:52 | 128.249.1.194 |
| 227 | 2011/3/18 | 17:02:54 | 200.174.110.123 |
| 228 | 2011/3/18 | 17:05:35 | 193.198.217.4 |
| 229 | 2011/3/18 | 17:05:40 | 89.28.178.40 |
| 230 | 2011/3/18 | 17:06:17 | 222.77.14.54 |
| 231 | 2011/3/18 | 17:06:24 | 222.77.14.54 |
| 232 | 2011/3/18 | 17:08:03 | 123.242.153.97 |
| 233 | 2011/3/18 | 17:08:05 | 212.0.145.162 |
| 234 | 2011/3/18 | 17:08:06 | 187.111.192.5 |
| 235 | 2011/3/18 | 17:08:11 | 123.242.153.98 |
| 236 | 2011/3/18 | 17:08:22 | 213.3.45.238 |
| 237 | 2011/3/18 | 17:08:25 | 41.190.16.17 |
| 238 | 2011/3/18 | 17:08:27 | 217.78.4.120 |
| 239 | 2011/3/18 | 17:08:44 | 65.49.34.13 |
| 2011/3/18 | 18:17:17 | 91.201.66.76 | |
| 2011/3/18 | 19:37:19 | 91.201.66.76 | |
| 2011/3/18 | 20:57:31 | 91.201.66.76 |
酷いです。
多分、これら直接攻撃してくるHostよりも、その背後にいる親玉をどうにかしないとダメなんだろうけど、私レベルじゃどうにもならない。IP割り当て国とか調べると世界中に散らばってて頭痛くなります。
こんなスパムにどう対処するか?
上記のような悪質な攻撃が来るHostは、速攻でiptablesなどファイアーウォールでアクセス不能にするのが一番良いかも。
でもいちいち個別に拒否設定しててもキリが無いのも事実。
しかし、本格的なスパム業者は、MovableTypeやWordPressのスパム判定を楽々とくぐり抜ける技を持っています。ブログCMSのプラグインで対策を行うのはもう無理なレベル。
コメントCGIをBotから守る為にはhtaccessに以下の記述を行い、http1.0でのアクセスを禁止したり、海外IPからのコメントを拒否するのが楽かも。
.htaccessに以下の様な記述を入れる
<Files "xxxxxx.cgi">
#コメントCGI(xxxxxx.cgi)に規制を入れる場合
SetEnvIf Request_Protocol "^HTTP/1\.0" http_10
#コメントCGIはhttp 1.0でのアクセスを拒否
order allow,deny
allow from .bbtec.net
allow from .jp
allow from 2iij.net
allow from mopera.net
allow from panasonic.com
allow from ibm.com
allow from as13448.com
allow from necel.com
allow from zero-isp.net
allow from bitcat.net
allow from ntt.com
#許可を与えるのは国内のプロバイダだけ。
#海外からコメントがほぼこない環境はこれが一番有効。
deny from env=http_10
</Files>
通常のスパム対策プラグインなどは、スパムが来る度にプログラムが実行され、それなりに高い負荷が発生します。別サーバーのブラックリストデータベースにアクセスするタイプのものなどは、かなりの負荷が発生します。
上記のような連続攻撃を受けると、月額500円以下の格安レンタルサーバーなどで運営している場合は、格段にレスポンスが落ちてしまうと思います。
コメント用のCGIやPHPが恒常的に作動し、「常にサーバーが重い」と感じる人は、スパムの元を根こそぎ遮断するのがお奨めです。