![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
目次
2017/8/12に実施した不正アクセス元調査と対処について。
サイトへのアクセス解析には長らくAWStatsを仕様しており、日次で前日分のログの解析を行っており、今回はアクセス元アドレスのリストに以下の様な解析結果が出たことを契機に対策を実施することとした。
| アドレス | ページ | ヒット | バイト | 最後の訪問 |
| 5.62.158.147 | 256 | 256 | 10.49 Mb | 2017年 8月 08日 - 01:30 |
| 181.214.37.163 | 255 | 255 | 10.51 Mb | 2017年 8月 10日 - 07:29 |
| 146.185.204.40 | 255 | 255 | 10.51 Mb | 2017年 8月 10日 - 21:12 |
| 95.181.218.34 | 255 | 255 | 10.51 Mb | 2017年 8月 10日 - 03:33 |
| 79.110.28.136 | 255 | 255 | 10.51 Mb | 2017年 8月 11日 - 17:04 |
| 185.14.193.185 | 255 | 255 | 10.51 Mb | 2017年 8月 10日 - 02:14 |
| 91.200.83.70 | 255 | 255 | 10.51 Mb | 2017年 8月 09日 - 02:30 |
綺麗に254〜256回のアクセスの後、異なるアドレスからアクセスしてきている形跡が200アドレス程あり、繰り返し脆弱性を突く試みをしているとみられます。
アクセス元のアドレスから、24bit単位でセグメントを切り出し、どの国に割り当てられたアドレスかを調査した。
http://cc.wariate.jp/
上記のサイトで国情報を取り出すことができるため、こちらにリストを放り込んで調査した結果が以下の表となる。
| アドレス帯 | 国コード |
| 146.185.204.0 | RU |
| 178.57.66.0 | RU |
| 181.214.37.0 | CL |
| 185.101.70.0 | RU |
| 185.14.193.0 | UA |
| 185.46.85.0 | RU |
| 185.71.0.0 | UA |
| 185.71.1.0 | UA |
| 185.71.2.0 | UA |
| 185.71.3.0 | UA |
| 191.96.164.0 | CL |
| 193.105.171.0 | UA |
| 5.189.205.0 | RU |
| 5.189.206.0 | RU |
| 5.189.207.0 | RU |
| 5.62.153.0 | RU |
| 5.62.156.0 | RU |
| 5.62.158.0 | RU |
| 79.110.28.0 | UA |
| 91.200.83.0 | UA |
| 95.181.218.0 | RU |
| 95.85.81.0 | RU |
無駄な攻撃ログはアクセス解析の邪魔になる上、万が一攻撃が成功した場合の危険性に備えてUTM装置にアクセス拒否の設定を入れて対処する。
| 入力インターフェイス | internet接続のIF |
| 出力インターフェイス | Webサーバが接続しているIF |
| 送信元 | 拒否登録したアドレス全て |
| 送信先 | Webサーバに割り当てたVIP |
| スケジュール | always |
| サービス | all |
| アクション | DENY |
