/ / 最新

swk's log - PukiWiki 狙い打ち攻撃?

2007-02-28

* PukiWiki 狙い打ち攻撃? [tech]

研究室のウェブサーバの /var があふれてひどいことになっていた.何が原因なのだろうと調べてみたら Apache のアクセスログが膨れ上がっていた. (というかそもそも /var が小さすぎるのだがそれはさておき)

で,中を見てみると,あるユーザが動かしている PukiWiki のページに対して連続して大量のアクセスがあるようだ.何かの攻撃なんですかね.で,別に攻撃が成功しているわけでもなさそうなので,それ自体は別にいいのだが,それが全部ログに残るのがうっとうしい.ちなみに Wiki のディレクトリ自体を消してみても,えんえんとアクセスが続く.バカかと.

というわけでまずは安直に deny from で弾いてみたのだけど,代わりに error_log があふれるだけであった.うがー.error_log は CustomLog で作るものではないので,環境変数をセットして消したりはできなさげ.かといってerror レベル以下を記録しないことにするのもいかがなものか.

しかたないので,パケットフィルタで元から断つことにした.他のページへのアクセスも断っちゃうけど,もういいや.シラネ.Linux なので iptables で

# iptables -A INPUT -s nnn.nnn.nnn.nnn -p tcp --dport 80 -j DROP
# iptables -A INPUT -s mmm.mmm.mmm.mmm -p tcp --dport 80 -j DROP
# /etc/init.d/iptables save
# /etc/init.d/iptables restart

な感じ.特にひどい 2 ホストだけを弾くことにして,とりあえずは落ち着いた.自動化する方がいいかも知れない.Vine Linux の場合,上のように手動で設定した iptables の内容は /etc/sysconfig/iptables に保存されていて,OS 起動時に読み込まれるのだそうな.

[ コメントを全部見る / コメントを書く] [ TrackBack ( )] [固定リンク]

* [Edilia] Ah yes, nicley put, everyone. (2013-07-04 07:10:13)

最終更新時間: 2009-01-04 15:31


Shingo W. Kagami - swk(at)kagami.org