【事例】ウェブサイトへの攻撃
最終更新日: 2017/03/04 9:56am
おはようございます。経理の小高です。
さきほどウェブサイトが攻撃を受けました。
サイト攻撃の実態をご紹介する機会かとも思いまして、ブログにアップします。
365日24時間監視サービス(サーバーの専門家が状況を把握して被害を最小限に食い止めるサービスです)のお客様でしたので、ほぼダウンタイムなしに対応できたのは不幸中の幸いです。
こんなに簡単に攻撃できるのだよ、という例でもあります。
攻撃は発信したサーバーはオランダのサーバーですが、このサーバーは踏み台になっているのかもしれません。いずれにせよ、攻撃に加担したサーバーはオランダにありました。IPアドレスも公開してしまいます。
以下が攻撃のログの抜粋です。7:37:43から7:45:35にかけて「ありがちな設定」や「脆弱性」をねらって、3823回の脆弱性スキャンを実行しています。
「”GET … HTTP1.1″ 数字」のあとの3桁の数字がレスポンスコードで、200(アクセス成功)となっていたのは「ホームページのトップ(本来アクセスできるページ)」だけでした。この中に他にも200があると、「その脆弱性に対応してない」ということが相手にわかってしまって、そこから改ざんや破壊といった更なる攻撃を仕掛けられてします。
93.190.143.32 - - [03/Mar/2017:07:37:43 +0900] "GET /bbscan_wants__your_response.php HTTP/1.1" 404 65277 93.190.143.32 - - [03/Mar/2017:07:37:46 +0900] "GET / HTTP/1.1" 200 75666 93.190.143.32 - - [03/Mar/2017:07:38:13 +0900] "GET /www.tgz HTTP/1.1" 404 64588 93.190.143.32 - - [03/Mar/2017:07:38:14 +0900] "GET /db.rar HTTP/1.1" 404 64587 93.190.143.32 - - [03/Mar/2017:07:38:14 +0900] "GET /db.tar.gz HTTP/1.1" 404 65255 93.190.143.32 - - [03/Mar/2017:07:38:14 +0900] "GET /db.tgz HTTP/1.1" 404 64587 93.190.143.32 - - [03/Mar/2017:07:38:14 +0900] "GET /back.tar.bz2 HTTP/1.1" 404 64593 93.190.143.32 - - [03/Mar/2017:07:38:14 +0900] "GET /data.tgz HTTP/1.1" 404 64589 93.190.143.32 - - [03/Mar/2017:07:38:15 +0900] "GET /db.zip HTTP/1.1" 404 64587 93.190.143.32 - - [03/Mar/2017:07:38:16 +0900] "GET /www.zip HTTP/1.1" 404 64588 93.190.143.32 - - [03/Mar/2017:07:38:16 +0900] "GET /www.koedo.or.jp.rar HTTP/1.1" 404 64600 93.190.143.32 - - [03/Mar/2017:07:38:16 +0900] "GET /data.zip HTTP/1.1" 404 64589 93.190.143.32 - - [03/Mar/2017:07:38:17 +0900] "GET /www.tar.gz HTTP/1.1" 404 65256 93.190.143.32 - - [03/Mar/2017:07:38:17 +0900] "GET /data.tar.bz2 HTTP/1.1" 404 64593 93.190.143.32 - - [03/Mar/2017:07:38:17 +0900] "GET /ftp.zip HTTP/1.1" 404 64588 93.190.143.32 - - [03/Mar/2017:07:38:17 +0900] "GET /www.rar HTTP/1.1" 404 64588 93.190.143.32 - - [03/Mar/2017:07:38:42 +0900] "GET /index.7z HTTP/1.1" 500 263 93.190.143.32 - - [03/Mar/2017:07:38:37 +0900] "GET /www.tgz HTTP/1.1" 500 263 93.190.143.32 - - [03/Mar/2017:07:38:42 +0900] "GET /error.log HTTP/1.1" 500 263 ... ... ...
ログの冒頭にありますが、BBScanという「脆弱性スキャナ」を使っています。これはホームページに公開されていて、誰でも取得できます(利用法が簡体字で書かれていますので、制作者は簡体字を使う人でしょう)。
取得したプログラムは、インストール方法に従えば子供でも利用可能です。プログラムがわかる人なら簡単に修正・改良できます。
簡体字を使う人が作った悪いプログラムを、だれかがオランダのサーバーから攻撃してくる。
これがウェブの世界の日常的です。
たくさんのサイトをお預かりしていますから、どうやって効果的に防ぐのか、日夜頭を悩ませています。
←「イーレンジャーのかわら版のページに過去の文書を掲載しました。」前の記事へ 次の記事へ「【事例】有名ではないサイトへの攻撃」→