今日は、Web担のサイトに中国の福建省からのスパムアクセスが突出して多いという話題と、Webサーバーのログから怪しいアクセスを見つけて、それがどこからのアクセスかを調べる方法の解説をお届けします。
Web担へのスパムや攻撃の大部分が福建省から?
Web担のアクセスログをチェックして、怪しいアクセスがないか調べて対処することが日課になっているのですが、やたらと中国の福建省からのスパムや攻撃が多いんですよ。
脆弱性を狙ったアクセス(攻撃は失敗していますが、記録は残るのです)のIPアドレスを調べると、感覚値で8割ぐらいが福建省から。次いで浙江省と広東省ですね。
そういうアクセスのあったネットワークからはWeb担にアクセスできないようにブロックするのですが、そういう作業をやっていると、福建省が「Fujian Province」で、浙江省が「Zhejiang Province」で広東省が「GuangDong Province」だというのを学んだり。あまりうれしくないですけどね。
自分のWebサイトへのスパムアクセスを調べて対処する方法
Web担当者さんがそういったスパムアクセスをチェックしてブロックすることは少ないかもしれませんが、意外と情シスの人はやってくれなかったりするので、やり方を知っておくのはいいかもしれませんね。
まず、WebサーバーのアクセスログやCMSのログから、「404」や「403」のアクセスを調べます。すると、「wp-signup」「sign_up」「member_login」「setup」「config」のような、CMSやデータベース管理ツールに第三者がアクセスしようとしている形跡が見つかるはずです。
こういう攻撃は、あなたが対象ツールを使っていなくてもバンバン飛んできますので、そうしたアクセスをしているIPアドレスをブロックするように、WebサーバーやCMSで設定するのです。
ただし、IPアドレスを1つひとつブロックしていてはキリがないんですよね。なので、そのIPアドレスが海外(特に中国とか中央アジアとか)のものだったら、所属するネットワーク全体をブロックします。Web担は日本の読者さん向けのサイトだから、その辺りは迷わず即ブロックですね。
IPアドレスでブロックする方法はここでは詳しく解説しませんが、よく使われているApache Webサーバーなら「deny from」を使います。結構簡単なので調べてみてください。
たとえば、IPアドレス「125.77.1.5」をブロックするなら「deny from 125.77.0.0」と.htaccessに書きます。このIPアドレスが所属するネットワークは「125.77.0.0/16」なので、ネットワーク全体をブロックするなら「deny from 125.77.0.0/16」ですね。
IPアドレスから情報を調べる方法
IPアドレスの情報を調べるには、便利なツールを使うのがいいでしょう。たとえば、こんなサイトです。
※ここ以降の内容は、ちょっと難し目です。すいません。細かいところまで解説しだすとキリがないのです……。紹介するサイトもすべて英語サイトです。
Robtex
http://ip.robtex.com/便利なので、一番よく使っています。ブラックリスト情報やAS情報も出ます。
サイト左上の検索ボックスにIPアドレスを入れて[Lucky]ボタンをクリック。
情報ページのURLは指定したIPアドレスが入っているので、表示される情報が少ない場合は、URLのIPアドレスの最後のドットと数字を削っていくと便利です(「14.146.12.151.html」でダメなら「14.146.12.html」にアクセス)。
情報の鮮度は各ページの下部に表示されます。
TCPIPUTILS.com
http://www.tcpiputils.com/browse/ip-addressここネットワークの知識が少なくても使いやすいかも。ブラックリスト情報やAS情報とWhois情報アリ。ページの下のほうには地図も表示されます。
トップページの検索ボックスにIPアドレスを入れて[Find IP]ボタンをクリック。
情報の鮮度はWhois情報のページやAS情報のページに表示されています。
IP-LOOKUP
http://ip-lookup.net/シンプルで使いやすいです。
ページ下の検索ボックスにIPアドレスを入れて虫眼鏡アイコンをクリック。
情報ページで「Address information」や「IP owner info」「Domain owner info」などをクリックすると詳細が表示されます。
情報は都度とりにいっているようですが、定かではありません。
CQ Counter Who Is
http://cqcounter.com/whois/シンプルで使いやすいですが、入力後にCAPTCHAがあるので面倒。
ページ上部の検索ボックスにIPアドレスを入れて[Whois]ボタンをクリック。ページには地図も表示されます。
WhatIsMyIPAddress
http://whatismyipaddress.com/blacklist-checkIPアドレス情報は使いづらいのですが、ブラックリストチェックが使いやすい感じなので紹介しておきます。
検索ボックスにIPアドレスを入れて[Check Blacklists]ボタンをクリックすると、その場で多くのブラックリストをチェックしてくれます。
中国からのアクセスをまとめてブロックしたい!
とはいえ、いちいち調べるのも面倒です。中国やウクライナにお客さんがいないなら、その国からのアクセスをまとめてブロックするのも手ですね。
そのための情報を公開しているサイトもあるので紹介しておきます。
基本的に、ここから得た情報を、サイトのルートディレクトリの.htaccessファイルに書き込むことで、その国からのアクセスをすべてブロックできます。
くれぐれも、設定間違いにはご注意を。
WIZCRAFTS
http://www.wizcrafts.net/chinese-blocklist.html中国や韓国のほか、東南アジアなどの国別IPアドレスリストを、Apacheの.htaccessにすぐに記述できる形で記載しています。ページ前半はいろいろな解説で、IPアドレスリストはページ下部にあります。
情報の鮮度はIPアドレスリストの上のほうに書かれています。
IP2LOCATION
http://www.ip2location.com/free/visitor-blocker世界中の国別のIPアドレスリストを、.htaccessにすぐに記述できる形でダウンロードできます。
[Country Name]リストボックスから国名を選んで、その下のリストボックスでどんなフォーマットで使うかを指定して[Download]ボタンをクリックすれば、指定したフォーマットのファイルがダウンロードされます。
情報の鮮度については記載はありませんが、国別のデータ精度は公開されています。
いかがでしょうか? 少し技術的な内容なのでわかりづらいかもしれませんが、少しずつ試してみると、徐々にわかってくるかもしれませんよ。
あ、ちなみにWeb担では国ごとまとめてブロックというのは、まだやってません。何となくですが。
- コーナー:編集長ブログ―安田英久
- 内容カテゴリ:Web担当者/仕事
- 内容カテゴリ:レンサバ/システム
※このコンテンツはWebサイト「Web担当者Forum - 企業ホームページとネットマーケティングの実践情報サイト - SEO/SEM アクセス解析 CMS ユーザビリティなど」で公開されている記事のフィードに含まれているものです。
オリジナル記事:中国の福建省はスパマーだらけ!? IPアドレスからアクセス元を調べる方法 [編集長ブログ―安田英久] | Web担当者Forum
Copyright (C) IMPRESS BUSINESS MEDIA CORPORATION, an Impress Group company. All rights reserved.