ハードディスクメンテナンス

ハードディスクの診断、物理フォーマット、静音化、Linux、サーバー、MySQLなどがメインだったのですが、その後広がり、カメラやハードウェアの投稿も増えてきました。 モバイルデバイスは、MacBookAir(13型)、iPad Air2、ポメラ DM100(キングジム)OLYMPUS STYLUS XZ-2など。 これらを使いながら、ブログを更新しています。

タグ:拒否



アクセス過多によりさくらインターネットに規制されているので、意味がないというか悪意のある163data.com.cnを弾く。

とにかく、アクセス頻度が高杉

ある日を例示(30,835件)するが、見ていただいても分かるように、かなり悪質。

SNなので仕方がないかなwwwww

このような状況を受け、拒否IPを作成し、denyすることに。

5月31日の途中から、拒否システムを投入!

その結果、

163data.com.cn 拒否作戦の結果
SNからの攻撃回数www

5月31日は減少し、6月1日と6月2日はゼロ!!!!!

一応成功はしているようだが、163data.com.cnを変えてくる可能性や、類似の方法で他のSNが仕掛けてくるかもしれない。

引き続き警戒態勢が必要だろう。





できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)
辻 秀典 渡辺 高志 鈴木 幸敏 できるシリーズ編集部
インプレスジャパン
売り上げランキング: 130,640
[PR] au WALLETカードの情報 - auのプリペイドカードでショッピングをおトクに!

このエントリーをはてなブックマークに追加 mixiチェック



.htaccess でアクセス元を制限することが可能。

アクセス元が許可しない範囲ならば、

Forbidden

You don't have permission to access / on this server.

と表示され、アクセスを拒否する。

HTTPステータスコードは403、四百番台はクライアントエラーであり、404(Not Found)が有名。

-----

Forbidden

(形容詞)禁じられた,禁制の,禁断の

forbidの過去分詞形。

forbidden ground:立入禁止区域

-----

指定例

order allow,deny
allow from all

deny from 110.80.
deny from 110.81.

アクセス制限の順番は「order allow,deny」では、許可(allow)を先に設定し、拒否(deny)を後に設定する。

設定は後(ファイルでは下方)に設定したもので上書きされるため、許可したものでも、後で拒否すると拒否される。

つまり、ブラックリスト的な考え方。

よって、先にallow from allで全てを許可し、後でdeny from...で一部を拒否できる。

逆に「order deny,allow」では、deny from allで全てを拒否し、後でallow from ...で一部を許可できる。

つまり、ホワイトリスト的な考え方。

許可範囲が非常に狭い(大学内のみ許可等)場合は後者を使うが、一般のサイトでは前者を使うことになる。

アクセス元の指定方法は、

all
全てのアクセスであり、allow from allは全てを許可し、deny from allは全てを拒否する。

IPアドレス
110.89.48.98のように4セグ全てを指定してもよいが、110.89.のように一部だけでもよい(前方一致)。
一部のみを指定する場合は、最後は「.」で止める。
ネットマスクやネットマスクのビット数を指定することも可能。

ホスト名
ホスト名で指定する。
allow from xxx.co.jp
後方一致も可能。
但し、アクセス時点ではIPアドレスしか分からないため、これからホスト名を調べ(逆引き)、指定されたホスト名と後方が一致するかで判断。

つまり、逆引きできない場合は、一致不一致が判断できない。

悪質アクセスの拒否を

deny from 163data.com.cn

で防ぐことができないのは、この「逆引き」ができないことがあるためである。

Windowsでは、cmd→nslookupで正引き、逆引きが可能。

nslookup 110.89.48.98 (逆引き,成功した場合)

名前:98.48.89.110.broad.pt.fj.dynamic.163data.com.cn
Address:110.89.48.98

ホストとIPを比較すると分かるが、IPを逆の並びにしたものがホストの頭に付いている。

nslookup 98.48.89.110.broad.pt.fj.dynamic.163data.com.cn (正引き)

*** UnKnown が 98.48.89.110.broad.pt.fj.dynamic.163data.com.cn を見つけられません: Non-existent domain

もう、SN全て拒否でイイのではないかねwwwwwwwwww

-----

正引き
 ホスト名→IPアドレス

逆引き
 IPアドレス→ホスト名

できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)
辻 秀典 渡辺 高志 鈴木 幸敏 できるシリーズ編集部
インプレスジャパン
売り上げランキング: 28,648


サーバ構築の実際がわかる Apache[実践]運用/管理 (Software Design plus)
鶴長 鎮一
技術評論社
売り上げランキング: 74,922
[PR] au WALLETカードの情報 - auのプリペイドカードでショッピングをおトクに!

このエントリーをはてなブックマークに追加 mixiチェック



さくらインターネットでは、2014年3月より、国外IPアドレスフィルタ設定が順次導入されている。

海外からの不正アクセスが非常に多いからね。

標準で「有効」なので、サーバー利用者は何もする必要がないが、勝手に有効となることで、困る人も出てくるだろう。

まずは、国外IPアドレスフィルタが何であるか、その詳細を知る必要がある。

-----

■提供開始時の「国外IPアドレスフィルタ」デフォルト設定
 <有効>になっております。
 必要に応じて機能を無効化いただくことも可能です。

■制限範囲
 ・FTP
 ・SSH
 ・SMTP(SMTP認証、POP before SMTP時)
 ・WebDAV
 ・HTTP、HTTPS のうち以下のアドレス
   /wp-admin/
   /phpmyadmin/
   wp-login.php
   mt.cgi
   admin.cgi
   php.cgi 等

-----

国外IPアドレスフィルタ」という名称から、海外からのアクセスを弾く、ように思えるが、上記にもあるように、海外からのアクセスが拒否されるのはごく一部。

海外からの悪意のあるアクセスを防ぐための措置である。

当然、悪意があるかどうかまでは分からないので、正規ユーザーが海外からアクセスしても拒否されてしまう。

その場合は、コントロールパネルから「国外IPアドレスフィルタ」を無効にする必要がある。

コントロールパネル>サイトに関する設定>国外IPアドレスフィルタ

国外IPアドレスフィルタ

一括ON/OFFだけでなく、個別に設定することも可能。

-----

ディレクトリによる制限から特定のファイルのみを許可したい場合は、該当ディレクトリに下記内容の .htaccess を設置してください。

<Files "ファイル名">
Order allow,deny
Allow from all
</Files>


-----

関連:国外IPアドレスフィルタ(さくらサポート)

このフィルタにより、エラーログの増加が懸念される。

明日に続く。
[PR] au WALLETカードの情報 - auのプリペイドカードでショッピングをおトクに!

このエントリーをはてなブックマークに追加 mixiチェック



163data.com.cnからの悪質なアクセスの一覧です。

2014年5月のある1日のアクセスです。

たった1日30,835件です。

しかし、このブログに投稿しようにも長杉で受け付けてもらえなかった(笑)ので、ここにファイルを置きます。

できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)
辻 秀典 渡辺 高志 鈴木 幸敏 できるシリーズ編集部
インプレスジャパン
売り上げランキング: 28,648


サーバ構築の実際がわかる Apache[実践]運用/管理 (Software Design plus)
鶴長 鎮一
技術評論社
売り上げランキング: 74,922

[PR] au WALLETカードの情報 - auのプリペイドカードでショッピングをおトクに!

このエントリーをはてなブックマークに追加 mixiチェック



悪質な 163data.com.cn を拒否する(.htaccess)であるが、終わりにも書いたように、IPアドレスの一覧では、それ以外が来た場合にはじけない。

ということで、先頭2セグメントのみとし、前回のリストの範囲を広げる。

deny from 110.84.
deny from 110.85.
deny from 110.86.
deny from 110.87.
deny from 110.89.
deny from 117.25.
deny from 117.26.
deny from 117.27.
deny from 117.29.
deny from 120.32.
deny from 120.33.
deny from 120.37.
deny from 120.43.
deny from 121.204.
deny from 121.205.
deny from 218.86.
deny from 222.77.
deny from 222.79.
deny from 27.150.
deny from 27.151.
deny from 27.153.
deny from 27.156.
deny from 27.159.
deny from 59.58.

範囲が広すぎるかもしれないが、仕方がない。

*.163data.com.cn をdenyすれば済むのでは?

と思われるが、正引き逆引きの関係で *.163data.com.cn の拒否だけでは対応できない模様。

さすがはSN。

正引き
 ホスト名→IPアドレス

逆引き
 IPアドレス→ホスト名

リスト作成が面倒だが、IPアドレスとホストを取得しDBに格納していれば、以下でdenyリストを作成。

SELECT DISTINCT substring_index(`ip`,'.',2) FROM `log` WHERE `host` LIKE '%163data.com.cn' ;

substring_index('str','delimiter',count)

文字列strの先頭から、区切り文字delimiterがcount回出現した位置までの文字列を返す

重複を除去するDISTINCTとsubstring_indexを使うことにより、膨大なログから、以下の118件を得た。

deny from 110.80.
deny from 110.82.
deny from 110.83.
deny from 110.84.
deny from 110.85.
deny from 110.86.
deny from 110.87.
deny from 110.88.
deny from 110.89.
deny from 110.90.
deny from 112.112.
deny from 112.117.
deny from 116.249.
deny from 116.52.
deny from 116.54.
deny from 117.24.
deny from 117.25.
deny from 117.26.
deny from 117.27.
deny from 117.28.
deny from 117.29.
deny from 117.30.
deny from 117.63.
deny from 117.80.
deny from 117.82.
deny from 117.84.
deny from 117.88.
deny from 117.89.
deny from 120.32.
deny from 120.33.
deny from 120.35.
deny from 120.37.
deny from 120.39.
deny from 120.40.
deny from 120.42.
deny from 120.43.
deny from 121.204.
deny from 121.205.
deny from 121.224.
deny from 121.225.
deny from 121.227.
deny from 121.236.
deny from 121.239.
deny from 121.32.
deny from 121.35.
deny from 123.185.
deny from 123.186.
deny from 123.187.
deny from 124.236.
deny from 124.72.
deny from 124.79.
deny from 125.64.
deny from 125.70.
deny from 125.75.
deny from 125.77.
deny from 125.78.
deny from 202.111.
deny from 218.5.
deny from 218.66.
deny from 218.85.
deny from 218.86.
deny from 218.88.
deny from 219.131.
deny from 219.136.
deny from 219.137.
deny from 219.140.
deny from 220.160.
deny from 220.161.
deny from 220.163.
deny from 220.165.
deny from 220.166.
deny from 220.191.
deny from 221.232.
deny from 221.238.
deny from 222.170.
deny from 222.172.
deny from 222.221.
deny from 222.64.
deny from 222.67.
deny from 222.71.
deny from 222.76.
deny from 222.77.
deny from 222.78.
deny from 222.79.
deny from 222.91.
deny from 27.150.
deny from 27.151.
deny from 27.153.
deny from 27.154.
deny from 27.155.
deny from 27.156.
deny from 27.159.
deny from 58.34.
deny from 58.35.
deny from 58.37.
deny from 58.63.
deny from 59.173.
deny from 59.174.
deny from 59.175.
deny from 59.36.
deny from 59.47.
deny from 59.55.
deny from 59.56.
deny from 59.57.
deny from 59.58.
deny from 59.59.
deny from 59.60.
deny from 59.61.
deny from 61.131.
deny from 61.134.
deny from 61.140.
deny from 61.154.
deny from 61.159.
deny from 61.165.
deny from 61.166.
deny from 61.170.
deny from 61.173.
deny from 61.183.

これを自動化するプログラムを書けば、ホストに163data.com.cnを含むアクセスの拒否IPリストが自動完成。

そして、自動で.htaccessに叩き込む!

.htaccessが変化してもApacheの再起動は不要だから、自動反映!

できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)
辻 秀典 渡辺 高志 鈴木 幸敏 できるシリーズ編集部
インプレスジャパン
売り上げランキング: 28,648


サーバ構築の実際がわかる Apache[実践]運用/管理 (Software Design plus)
鶴長 鎮一
技術評論社
売り上げランキング: 74,922

[PR] au WALLETカードの情報 - auのプリペイドカードでショッピングをおトクに!

このエントリーをはてなブックマークに追加 mixiチェック

このページのトップヘ