‘Linuxサーバ-スパム’ カテゴリーのアーカイブ

要注意、スパムに狙われるWordPressのフォーラムや掲示板。コミュニティサイトの危険性

Linuxサーバ-スパム | by 管理者
4月 22日 2013 年

不正アクセスがあったので、IPアドレスをアクセス禁止にしたらIPアドレスを変更して性懲りもなくやってくるしつこいスパムを紹介します。

IPアドレス69.197.189.8の前は69.197.189.11でした。

 

このエラーログを見ると、signup.phpとかjoin.php、member.php、register.phpの記述が至るところにあり、フォーラムや掲示板のスクリプトを決め打ちして探しています。

エラーログ

 

こいつの狙いはWordpressで開設できる掲示板やフォーラムにあるようです。

掲示板やフォーラムはブログと違ってスパムリンクを張り易いので、狙われるのでしょうね。

以前、掲示板を開設していた時も、直接cgiを叩いてスパムリンクを書き込まれました。

その度に消して書かれての繰り返し。

結局、掲示板の運営を止めてしまいましたが、ロボットがやっているので罪の意識すらないでしょう。

この手のスパムは月に3~4回有ります。

時々見ますが、途中で放置された無料ブログや掲示板は無法地帯と化し、こいつらのエサ場になります。

途中で投げ出すのなら、掲示板は閉鎖して後始末をきちんとお願いしたいと思います。

 

レンタルサーバの有料・無料を問わず、Wordpressでブログを開設していれば、こいつらに必ず狙われます。

このログはアパッチが吐いたものなのでサーバー管理者でなければ見ることができないログです。

そのため、多くのWordpressでブログ開設している運営者は、このようなスパムに狙われていることすら知らないと思います。

 

 

言い換えると、堅牢な鎧や甲冑を着て、暗闇の中でサンドバックのように叩かれているのだけど、それすら知らない状態!?・・・恐ろしい。

しかし、このようなログが見えれば攻撃してくる敵の姿が見えるため、こちらから攻撃しないまでも手を出して防御することが可能になります。

 

そこで何か対抗手段は無いのか、不正アクセスを検知して教えてくれるWordpressのプラグインを探しましたが無いみたいです、というかエラーにしているのはアパッチなのでWordpressで不正アクセスの検知は無理なはず。

それなら、このエラーログを見ることの出来るレンタルサーバ会社が不正アクセスを行っているやつらのIPアドレスを掲載するとか、こいつらが接続できないようにレンタルサーバ側で遮断するとかサービスを提供しても良いと思いますが、いかがでしょうか?

 

WordPressで簡単に開設出来るフォーラムを紹介をしているサイトが沢山有ますが、フォーラムを開設すると同時にスパムに狙われる危険性が増すことをお忘れなく。

ウイルスバスターで有名なトレンドマイクロはスパム?

Linuxサーバ-スパム | by 管理者
4月 14日 2013 年

アパッチのエラーログを見ていたら、このようなエラーが記録されていた。

[Sun Apr 14 15:59:20 2013] [error] [client 150.70.97.118] File does not exist: /var/www/wordpress/undefined
[Sun Apr 14 16:00:09 2013] [error] [client 150.70.75.164] File does not exist: /var/www/wordpress/undefined

 

150.70.97.118はウイルスバスターで有名なトレンドマイクロのIPアドレス。

このIPアドレスをhttp://www.aguse.jp/で検索すると、以下のようにブラックリストに登録されていた。

トレンドマイクロはIPアドレスを詐称されているってことなのかな?

aguse

 

さらに調査すると、良く分からない以下のようなエラーがあった。

何をしたかったのだろうか?

いくつもも記録されているので、打ち間違いじゃないと思われるが、気味が悪い。

File does not exist: /var/www/html/page2.html

File does not exist: /var/www/html/https:

 

2chで質問しようと書き込んだら、コミュファが規制されていて書き込みできなかった。

誰か知っている人は教えて下さい。

自動相互リンクツールでsnortの警告ログが多発

Linuxサーバ-スパム | by 管理者
11月 17日 2010 年

一応にわかサーバの管理人なので、サーバの管理ツールであるsnortのログにも目を通しますが、何やら昨夜から怪しいipが断続的に記載されています。

警告メッセージの内容はコレ↓

WEB-CLIENT Mozilla Products IDN Spoofing Vulnerability Attempt

警告画面

Ddestination portが80ポートなので問題ないと思いながらも気になるのでアク禁にしました。

そしてしばらくしてから、自動相互リンク画面へ遷移するときに妙に時間がかかっていることに気づき、アパッチのログを調べるとタイムアウトしているとの表示がでています。

良く見ると、自動相互リンク画面にあるはずの広告の表示が出ていないので、どうやら画面表示するときに外部のサーバにアクセスして広告表示しているにもかかわらず、その外部のサーバをアク禁にしたのでタイムアウトしたというのが真相のようです。

しかし、自動相互リンクの画面に遷移するごとにログに記録されるので、記録しないようにしないと見づらくなってしまいます。

これは時間のあるときに考えます。