実は偵察されていた?不審なアクセスをBANした瞬間、中国から脆弱性をついた攻撃が!

Written by Joe
password

ちょっとしたブログだからって、安心してはいられませんよ?

謎の不審なアクセス

このブログは、ご存知WordPressを利用して運営、執筆しています。また、「StatPress Reloaded」というアクセス解析プラグインを利用していまして、直近数件のアクセスなどを簡単に見ることができます。

で、このキーワードが、この記事が人気なんだな~、と眺めていますと、その中に不審なアクセスが!

WindowsXP、IE6!?人間じゃない

その不審なユーザーは、とても変わった動きを指定まして、

  • 1~5秒の間隔で、同じ記事に二回連続アクセスする
  • その後、10秒以内に別の記事に移動し、同じように二回連続アクセスする

という、時間からみても「人間が記事を読む速度ではない」のです。気づきだした当初は、「どっかのエンジンのクローラーかな?」と思い放置していました。

Windows-XP

PV激増

それに気付いた月の月末、ふとアクセスカウンターを見てみますと、恐ろしいことに。。。

無題

御覧ください!Hoverして出ている「7760PV」というのは、一番多い日のものです。

その日の訪問者が1000人弱にも関わらず、このPVの暴走、明らかにあの「不審なユーザー」のしわざです。これではアクセス解析どころではなくなってしまうので対策することに。

しかたがないので対策することに

この謎のボットと思われるユーザー、同しようもないので取った方法は「アクセス制限」です。

WP-Banで、特定IPからのアクセスをブロック

以前、IPTABLESで、あるIPアドレスを完全にブロックしたことがあったのですが、やり方を忘れてしまったので、WP用のプラグインを使うことに。

ban_headimg

WP-Ban – 指定した接続元IPアドレスをブロックできるWordPressプラグイン

プラグインのインストールと設定方法は、こちら↑を参考にするとわかりやすいです。本記事での説明は省きます。

とりあえず、このプラグインでクローラBOT(仮称)からのアクセスは防ぐことが出来ました。

そして、しばらく様子を見ていますと、事態は私にとって急展開を迎えることに…

突然、中国から脆弱性をついた攻撃が

正確には、アクセスログに、「あるかわからない脆弱性をついた攻撃をしようとした跡があった」ということです。

国はcn。中華人民共和国からのアクセスです。

はじめのうちは、僕自身も何にアクセスされたのかわかりませんでした。

アクセスログには、その中国のIPアドレスからのアクセスの跡があったのですが、そのIPアドレスは、「fckeditor」という名前のついたディレクトリ周辺にアクセスしていました。

私は、やはり「fckeditor?そんなもの知らないぞ、何なんだろう調べてみよう!」そう考えGoogleで調べてみましたところ。。。

無題

検索予測欄でだいたい察しましたが、((((;゚Д゚))))ガクガクブルブル

どういうことかといいますと、中国のハッカーは以下の様なことをしようと考えていたのだと思います。

片っ端から可能性のある脆弱性をつきまくっていた

brute-force-attack

脆弱性があるFCKEditorというプラグインのページにアクセスする
  ↓  ↓  ↓
運良く、ブログがそのFCKEditorを利用していた場合、脆弱性をついてハッキングできる

つまり、この中国IPは、「既に発覚している脆弱性がこのブログにあるか探していた」ということになります。

また、名前は覚えていませんが、同じように「あるはずのないディレクトリ」へのアクセスを幾つかしていました。やはり、脆弱性を探してアクセスをしていたのでしょう。

「WP-Ban」でBANされた時に出るメッセージを「ザマァ見やがれ」にでも変えておきましょう。

クローラBOT(仮称)をBANしたのと何か関係が?

これについてはなんとも言えません。

IPアドレスを調べてみますと、クローラBOTは、アメリカのカリフォルニアにあるらしいのですが、乗っ取りを試みてきた中国IPは中華人民共和国のものでした。

果たして、この2つが関係あったのか、それは僕にもわかりませんが、ひとつ言えることは、

「BOTをBANした直後、中国IPが脆弱性探しを始めた」

ということのみです。怪しい…

まとめ

  1. 変なBOTをブロックしたら脆弱性つかれそうになった
  2. FCKEditorを入れていないでよかった!
  3. 脆弱性やバグの情報には常に耳を傾けるべき。

 

やはり、こんな弱小ブログでも乗っ取りを試みてくる輩は居るのですね。

しかし、則ったところで何をするのでしょうか?危険なスクリプトを埋め込むなら自分でサイト立ててやればいいし、果たして何がやりたいのかわかりません。

ハッカーはきまぐれ

分からない事がある?質問しよう!