アクセスログに「403」「404」が大量にある場合はハッキングされている可能性大 アクセスを拒否します

wordpressセキュリティ対策wordpressセキュリティ対策,ログ解析

前回の記事で「アクセスログ」を分析するツールをインストールしました。
 
今回は、エラーコード「403」「404」のログについて調べてみます。
 
 
「403」は「アクセス禁止のページにアクセスしました。」
「404」は「お探しのページは見つかりませんでした」と表示されるエラーです。
本来は、間違ったアドレスをブラウザに入力した場合に表示されるエラーですが・・・
 
ブラックハットハッカーがハッキングの為にアクセスしている可能性があるのです。
それは、もしブラックハットハッカーがアクセスしたページが「アクセスできたら」「ページが存在している」場合、そのページからハッキングできる可能性が出てくるからです。
 
ブラックハットハッカーは貴方のサイトから締め出しましょう。
(ちょっと乱暴ですね。)
 

エラーコードについて

まずエラーコードとは、OSやアプリケーションの処理をする上でエラーが発生した時にエラーの内容をコード化した情報になります。400番台のエラーコードはWebブラウザからのリクエストにエラーがあった場合のコードです。
 

400番台のエラーコード

400番台のエラーコードには400番から417番のコードが存在します。
私たちがよく目にするコードは以下のとおりです。
  • 400:不正リクエスト
    Webブラウザから送信したリクエストに不正があった場合
  • 401:認証エラー
    パスワードが必要なWebサイトに対して入力したパスワードが間違っている場合
  • 403:アクセス禁止
    第三者の閲覧が禁止されているページにアクセスした場合
  • 404:指定されたURLが存在しない
    存在しないページにアクセスした場合
  • 408:タイムアウト
    指定された時間内にページが表示されなかった
になります。
 
ここでは、ハッキングに関連すると思われる「403」「404」のコードを確認します。
 

攻撃してそうなIPアドレスを探す

1.前回の記事より、ApacheLogViewerを利用してアクセスログを表示します。
 
2.画面が2分割しています。左の「Time Span RemoteIP Server Ulse Size …」の情報を上から順番にクリックしていき、右の「Time Request」の情報を確認します。
右の情報が青文字の場合は通常のアクセス。
(但し正常か否かは不明、今回は無視します。)
もし情報が赤文字で表示されたらその情報をチェックします。
 
青文字の場合は
 
赤文字の場合は
 
3.赤文字の情報に注目します。
チェックする項目は
・左側の「Server」項目にあるIPアドレス
・右側の「Request」と「Status」です。
 
4.IPアドレスの確認
ここで、左側の「Server」項目にあるIPアドレスが「77.247.127.149」
 
このIPアドレスを「AbuseIPDB」サイトで調べます。(英語です。)
 
このサイトは、ハッキングの試みやその他の悪意のある行動に関与している不正なIPアドレスをデータベースに登録しており、IPアドレスで悪意があるか否かを検索することができるサイトになります。
 
5.「Check an IP Address…」のフィールドに先ほど調べたIPアドレスを設定して「check」ボタンを押下します。
 
 
6.検索結果を確認します。
 
※ブラウザが「google chrome」の場合はブラウザを左クリックして「日本語に翻訳」を選択すれば、翻訳されたページが表示されます。(お勧めです。)
 
7.攻撃されているか否かの判定
これは私の勝手な判定です。
 
まず、IPアドレスが登録されている確認します。
「77.247.127.149 was found in our database!」なのでデータベースにIPアドレスが登録されていました。
 
つぎに「国」を見ます。
「オランダ」になっています。「日本」だったら少し考えますが「オランダ」からアクセスがあるのはおかしいですね。
 
つぎに、ページの下部に移動して「最近のレポート」を確認します。
 
翻訳すると
 
コメント欄をみると7件の攻撃された報告が掲載されています。
 
ここで、私はこう考えます。
  1. ハッキングのデータベースに登録されている。
  2. 外国のサイト(オランダ)からのアクセス。
  3. データベースのコメントが攻撃された内容である。
  4. ApacheLogViewerの表示でも赤色の情報が複数件(8件)ある。
    (※私は1件でも攻撃だったと判断します。)
よって「77.247.127.149」は攻撃のIPアドレスに認定します。(^^;;
 

IPアドレスの拒否

1.自分ブログのwordpressの管理画面にログインして「セキュリティ」をクリックします。
 
2.「禁止ユーザー」の「設定」ボタンを押下します。
 
 
3.「禁止ユーザー」に「77.247.127.149」を設定します。
そして「設定を保存」ボタンを押下して登録完了です。
 
 
 

ログ解析におけるアクセスを拒否のまとめ

ApacheLogViewerを使ってアクセスログより、攻撃者(IPアドレス)を見つける方法を説明しました。
 
怪しいアドレスはアクセスの拒否をするのですが、ポイントは「AbuseIPDB」サイトにIPアドレスが登録されているか否かです。
 
今回は簡単な方法でしたが、ログの解析方法はこんなものじゃありません。もっともっと深いです。
別途、ログの解析方法をご説明したいと思います。
 
 
もし、wordpressのセキュリティ対策で悩まれている方はこちらの一覧をご覧ください。