私のサイトへの不正アクセス日記
トップページへ
当方が利用しているサーバーは、不正なアクセスをエラーログとして残す機能があります。その中で「特に怪しいアクセス」を日々の記録として残していきます。
私の不正アクセスと考える基準
簡単にいえば「大半の方が、ブログやホームページを見るだけ」ですが、「それ以外のことをされたら不正アクセスの可能性と判断」します。ですので「普通に読まれる方」は該当しないので気にしないで下さい。
詳しくは下記の場合です。
・存在しない記事、フォルダを閲覧しようとしたり、ファイルにアクセスしようとしている。
・セキュリティ上、アクセス権がないファイルを開こうとしていた。
記事の概要
・日時
・実際のログ
・内容
・相手のIPアドレスからわかったこと
下記の記事の補足
Q. woocommerce-paymentsプラグインとは?
A.WordPress用決済プラグイン。考えられることは「相手が当方サイトにあると思った、決済情報(クレジットカードなど)を盗もう」としたのではないか?と推定。しかし、当方は「ECサイト(商品を売るサイト)は開設していない」ので、そのプラグインは存在しません。
2023/8/3 存在しないファイル・フォルダを狙う
発信元: 香港 45.126.125.0/24
その他:tinymceは高機能エディタプラグイン
[Thu Aug 03 04:05:24.334997 2023] [autoindex:error] [pid 1270:tid 1292] [client 45.126.125.146:55952] AH01276: Cannot serve directory /wp-includes/js/tinymce/plugins/compat3x/css/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive, referer: https://in-jpn.com/wp-includes/js/tinymce/plugins/compat3x/css/index.php
[Thu Aug 03 04:05:25.161893 2023] [autoindex:error] [pid 873:tid 1073] [client 45.126.125.146:56388] AH01276: Cannot serve directory /wp-includes/js/tinymce/skins/lightgray/img/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive, referer: https://in-jpn.com/wp-includes/js/c/skins/lightgray/img/index.php?p=
2023/4/2 4:00:10
[Sun Apr 02 04:00:10.389761 2023] [access_compat:error] [pid 88767:tid 89198] [client 5.101.156.143:55456] AH01797:
私のmikaiketsuサイトで、存在しない「woocommerce-paymentsプラグイン」を探す
5.101.156.0 – 5.101.156.255
netname: BEGET-NET12
country: RU → (ロシア連邦)
2023/4/2 8:06:42
[Sun Apr 02 08:06:42.361094 2023] [access_compat:error] [pid 27320:tid 27363] [client 185.137.233.52:34660] AH01797:
私のtvサイトで、存在しない「woocommerce-paymentsプラグイン」を探す
185.137.233.0 – 185.137.233.255
netname: SELECTEL-NET
country: RU → (ロシア連邦)
2023/4/3 6:48:51
私のuranaiサイトで、存在しないファイルへのアクセスを試みる
[03/Apr/2023:06:48:51 +0900] “GET /wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:52 +0900] “GET /wordpress/wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:52 +0900] “GET /blog/wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:53 +0900] “GET /wp/wp-login.php HTTP/1.1” 403 1470
NetRange: 134.122.0.0 – 134.122.127.255
CIDR: 134.122.0.0/17 (マスク範囲)
NetName: DIGITALOCEAN-134-122-0-0
Organization: DigitalOcean, LLC (DO-13)
Country: US → (アメリカ合衆国)
2023/4/3 9:58
私のitサイトで、存在しないファイルへのアクセスを試みる
[03/Apr/2023:09:58:55 +0900] “GET / HTTP/1.1” 301 227
[03/Apr/2023:09:58:56 +0900] “GET / HTTP/1.1” 200 114860
[03/Apr/2023:09:58:56 +0900] “GET //wp-includes/wlwmanifest.xml HTTP/1.1″ 200 1045
[03/Apr/2023:09:58:57 +0900] “GET //wp-login.php HTTP/1.1” 200 9088
[03/Apr/2023:09:58:57 +0900] “GET //wp-json/wp/v2/users/ HTTP/1.1” 200 1144
[03/Apr/2023:09:58:57 +0900] “POST //xmlrpc.php HTTP/1.1” 403 2843
[03/Apr/2023:09:58:57 +0900] “POST //xmlrpc.php HTTP/1.1” 403 2843
[03/Apr/2023:09:58:57 +0900] “POST //wp-login.php HTTP/1.1” 403 255
NetRange: 18.32.0.0 – 18.255.255.255
CIDR: 18.64.0.0/10 (マスク範囲), 18.32.0.0/11 (マスク範囲), 18.128.0.0/9 (マスク範囲)
Organization: Amazon Technologies Inc. (AT-88-Z)
Country: US → (アメリカ合衆国)
補足:amazon自身ではなく、amazonのウェブサービス(AWS)を利用している企業と推定
エックスサーバーによる注意喚起
WordPressの「wlwmanifest.xml」ファイルに対するアクセス制限と設定機能追加のお知らせ
2023/4/3 9:19
私のitサイトで、存在しないファイルへのアクセスを試みる
[03/Apr/2023:09:19:41 +0900] “GET / HTTP/1.1” 200 78724 “-” “-”
[03/Apr/2023:09:19:41 +0900] “GET / HTTP/1.1” 301 230 “-” “-”
[03/Apr/2023:09:19:41 +0900] “HELP” 400 150 “-” “-”
[03/Apr/2023:09:19:42 +0900] “GET /debug/default/view?panel=config HTTP/1.1” 301 261 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.DS_Store HTTP/1.1” 301 239 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1” 301 305 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.env HTTP/1.1” 301 234 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.git/config HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /?rest_route=/wp/v2/users/ HTTP/1.1” 301 255 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /server-status HTTP/1.1” 403 1346 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /info.php HTTP/1.1” 301 238 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /s/0343e2631313e23343e2236313/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties HTTP/1.1” 301 328 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /telescope/requests HTTP/1.1” 301 248 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET / HTTP/1.1” 301 230 “-” “Mozilla/5.0 (Linux; Android 6.0; HTC One M9 Build/MRA760210) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2720.98 Mobile Safari/537.3”
[03/Apr/2023:09:19:42 +0900] “GET /.vscode/sftp.json HTTP/1.1” 301 247 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /v2/_catalog HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /login.action HTTP/1.1” 301 242 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /config.json HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /api/search?folderIds=0 HTTP/1.1” 301 252 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /about HTTP/1.1” 301 235 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /server-status HTTP/1.1” 403 1346 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /?rest_route=/wp/v2/users/ HTTP/1.1” 200 271 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /debug/default/view?panel=config HTTP/1.1” 404 22017 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1” 404 28197 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /info.php HTTP/1.1” 404 24023 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.env HTTP/1.1” 404 27918 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.vscode/sftp.json HTTP/1.1” 404 21991 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /s/0343e2631313e23343e2236313/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties HTTP/1.1” 404 21973 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.git/config HTTP/1.1” 404 21830 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET / HTTP/1.1” 200 98444 “-” “Mozilla/5.0 (Linux; Android 6.0; HTC One M9 Build/MRA760210) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2720.98 Mobile Safari/537.3”
[03/Apr/2023:09:19:47 +0900] “GET /.DS_Store HTTP/1.1” 404 21995 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /telescope/requests HTTP/1.1” 404 27947 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /about HTTP/1.1” 404 22592 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /api/search?folderIds=0 HTTP/1.1” 301 0 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /login.action HTTP/1.1” 404 22056 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /config.json HTTP/1.1” 404 22750 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /v2/_catalog HTTP/1.1” 404 22101 “-” “Go-http-client/1.1”
inetnum: 139.59.128.0 – 139.59.159.255
netname: DIGITALOCEAN-AP
descr: DigitalOcean, LLC
country: DE → (ドイツ)
inetnum: 128.199.0.0 – 128.199.255.255
netname: DigitalOcean
descr: DigitalOcean, LLC
country: US → (アメリカ合衆国)
三井物産セキュアディレクション様 不正アクセスの傾向分析(UA編)と狙われている脆弱性
2023/4/3 15:09
私のblogサイトで、存在しないファイルへのアクセスを試みる
ログは前述とほぼ同じなので割愛。
特徴:
xmlrpc.php
相手:
inetnum: 113.64.0.0 – 113.95.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN → (中国)
対処:そのサイトに対し中国からのアクセスを全てブロック
2023/4/3 16:59
私のトップドメインで、存在しないファイルへのアクセスを試みる
ログは前述とほぼ同じなので割愛。
特徴
wlwmanifest.xml
xmlrpc.php
43.207.201.77
相手:
inetnum: 43.200.0.0 – 43.207.255.255
netname: AMAZON-AS-AP
descr: Amazon.com, Inc.
descr: 605 5th Ave S
country: US → (アメリカ合衆国)
補足:amazon自身ではなく、amazonのウェブサービス(AWS)を利用している企業と推定
2023/4/3 11:27
私の「複数」のサイトに対し、存在しないファイルへのアクセスを試みる
ログ:
大量だったので、特徴的な個所のみ
wp-includes/wlwmanifest.xml
xmlrpc.php
相手
inetnum: 156.146.34.0 – 156.146.35.255
netname: CDN77_TYO-EQ8
country: JP → (日本)
admin-c: DLTS1-RIPE
tech-c: DLTS1-RIPE
status: ASSIGNED PA
mnt-by: DATACAMP-MNT
2023/4/5 15:29
私のpanサイトで、存在しないファイルへのアクセスを試みる
ログ:省略
相手
inetnum: 89.187.162.0 – 89.187.162.239
netname: CDN77_SGP-EQ3
descr: CDN77 Singapore
country: SG → (シンガポール)
2023/4/8 4:17
私のgameサイトにロシア最大の検索エンジンが収集に来た(不正ではない)
ログ
game.in-jpn.com 213.180.xxx.xxx – – [08/Apr/2023:04:17:11 +0900] “GET /robots.txt HTTP/1.1” 403 2843 “-” “Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)”
対処
情勢を考慮し不要と判断。公式サポートを見ながらとりあえずブロック
robots.txtに追記
User-agent: Yandex
Disallow: /
2023/4/8 9:32
私のルートサイトで、存在しないファイルへのアクセスを試みる
ログ
AH01276: Cannot serve directory /home/ad2020/in-jpn.com/public_html/wp-includes/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive
相手:
inetnum: 193.47.61.0 – 193.47.61.255
netname: Serverion_BV-NET
org: ORG-DCB8-RIPE
abuse-c: SB27731-RIPE
country: NL → (オランダ)
2023/4/8 4:27
私のルートサイトで、存在しないファイルへのアクセスを試みる
ログは同類ので省略
相手
NetRange: 134.209.0.0 – 134.209.255.255
NetName: DIGITALOCEAN-134-209-0-0
NetHandle: NET-134-209-0-0-1
OrgName: DigitalOcean, LLC
City: New York
Country: US → (アメリカ合衆国)
2023/4/8 8:25
私のルートサイトで、存在しないファイルへのアクセスを試みる
ログは同類ので省略
相手
NetRange: 159.89.0.0 – 159.89.255.255
NetName: DIGITALOCEAN-159-89-0-0
NetHandle: NET-159-89-0-0-1
OrgName: DigitalOcean, LLC
City: New York
Country: US → (アメリカ合衆国)