私のサイトへの不正アクセス日記






トップページへ

当方が利用しているサーバーは、不正なアクセスをエラーログとして残す機能があります。その中で「特に怪しいアクセス」を日々の記録として残していきます。

 

私の不正アクセスと考える基準

簡単にいえば「大半の方が、ブログやホームページを見るだけ」ですが、「それ以外のことをされたら不正アクセスの可能性と判断」します。ですので「普通に読まれる方」は該当しないので気にしないで下さい。

詳しくは下記の場合です。

・存在しない記事、フォルダを閲覧しようとしたり、ファイルにアクセスしようとしている。

・セキュリティ上、アクセス権がないファイルを開こうとしていた。

 

記事の概要

・日時

・実際のログ

・内容

・相手のIPアドレスからわかったこと

 

下記の記事の補足

Q. woocommerce-paymentsプラグインとは?

A.WordPress用決済プラグイン。考えられることは「相手が当方サイトにあると思った、決済情報(クレジットカードなど)を盗もう」としたのではないか?と推定。しかし、当方は「ECサイト(商品を売るサイト)は開設していない」ので、そのプラグインは存在しません。

 

 

2023/8/3 存在しないファイル・フォルダを狙う

発信元: 香港 45.126.125.0/24

その他:tinymceは高機能エディタプラグイン

[Thu Aug 03 04:05:24.334997 2023] [autoindex:error] [pid 1270:tid 1292] [client 45.126.125.146:55952] AH01276: Cannot serve directory /wp-includes/js/tinymce/plugins/compat3x/css/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive, referer: https://in-jpn.com/wp-includes/js/tinymce/plugins/compat3x/css/index.php

[Thu Aug 03 04:05:25.161893 2023] [autoindex:error] [pid 873:tid 1073] [client 45.126.125.146:56388] AH01276: Cannot serve directory /wp-includes/js/tinymce/skins/lightgray/img/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive, referer: https://in-jpn.com/wp-includes/js/c/skins/lightgray/img/index.php?p=

 

2023/4/2 4:00:10

[Sun Apr 02 04:00:10.389761 2023] [access_compat:error] [pid 88767:tid 89198] [client 5.101.156.143:55456] AH01797:

私のmikaiketsuサイトで、存在しない「woocommerce-paymentsプラグイン」を探す

5.101.156.0 – 5.101.156.255

netname: BEGET-NET12

country: RU   → (ロシア連邦)


2023/4/2 8:06:42

[Sun Apr 02 08:06:42.361094 2023] [access_compat:error] [pid 27320:tid 27363] [client 185.137.233.52:34660] AH01797:

私のtvサイトで、存在しない「woocommerce-paymentsプラグイン」を探す

185.137.233.0 – 185.137.233.255

netname: SELECTEL-NET

country: RU   → (ロシア連邦)

 


2023/4/3 6:48:51

私のuranaiサイトで、存在しないファイルへのアクセスを試みる

[03/Apr/2023:06:48:51 +0900] “GET /wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:52 +0900] “GET /wordpress/wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:52 +0900] “GET /blog/wp-login.php HTTP/1.1” 403 1470
[03/Apr/2023:06:48:53 +0900] “GET /wp/wp-login.php HTTP/1.1” 403 1470

NetRange: 134.122.0.0 – 134.122.127.255
CIDR: 134.122.0.0/17 (マスク範囲)
NetName: DIGITALOCEAN-134-122-0-0
Organization: DigitalOcean, LLC (DO-13)
Country: US   → (アメリカ合衆国)

 


2023/4/3 9:58

私のitサイトで、存在しないファイルへのアクセスを試みる

[03/Apr/2023:09:58:55 +0900] “GET / HTTP/1.1” 301 227
[03/Apr/2023:09:58:56 +0900] “GET / HTTP/1.1” 200 114860
[03/Apr/2023:09:58:56 +0900] “GET //wp-includes/wlwmanifest.xml HTTP/1.1″ 200 1045
[03/Apr/2023:09:58:57 +0900] “GET //wp-login.php HTTP/1.1” 200 9088
[03/Apr/2023:09:58:57 +0900] “GET //wp-json/wp/v2/users/ HTTP/1.1” 200 1144
[03/Apr/2023:09:58:57 +0900] “POST //xmlrpc.php HTTP/1.1” 403 2843
[03/Apr/2023:09:58:57 +0900] “POST //xmlrpc.php HTTP/1.1” 403 2843
[03/Apr/2023:09:58:57 +0900] “POST //wp-login.php HTTP/1.1” 403 255

NetRange: 18.32.0.0 – 18.255.255.255
CIDR: 18.64.0.0/10 (マスク範囲), 18.32.0.0/11 (マスク範囲), 18.128.0.0/9 (マスク範囲)
Organization: Amazon Technologies Inc. (AT-88-Z)
Country: US   → (アメリカ合衆国)

補足:amazon自身ではなく、amazonのウェブサービス(AWS)を利用している企業と推定

エックスサーバーによる注意喚起

WordPressの「wlwmanifest.xml」ファイルに対するアクセス制限と設定機能追加のお知らせ


 

2023/4/3 9:19

私のitサイトで、存在しないファイルへのアクセスを試みる

[03/Apr/2023:09:19:41 +0900] “GET / HTTP/1.1” 200 78724 “-” “-”
[03/Apr/2023:09:19:41 +0900] “GET / HTTP/1.1” 301 230 “-” “-”
[03/Apr/2023:09:19:41 +0900] “HELP” 400 150 “-” “-”
[03/Apr/2023:09:19:42 +0900] “GET /debug/default/view?panel=config HTTP/1.1” 301 261 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.DS_Store HTTP/1.1” 301 239 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1” 301 305 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.env HTTP/1.1” 301 234 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /.git/config HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /?rest_route=/wp/v2/users/ HTTP/1.1” 301 255 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /server-status HTTP/1.1” 403 1346 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /info.php HTTP/1.1” 301 238 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /s/0343e2631313e23343e2236313/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties HTTP/1.1” 301 328 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /telescope/requests HTTP/1.1” 301 248 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET / HTTP/1.1” 301 230 “-” “Mozilla/5.0 (Linux; Android 6.0; HTC One M9 Build/MRA760210) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2720.98 Mobile Safari/537.3”
[03/Apr/2023:09:19:42 +0900] “GET /.vscode/sftp.json HTTP/1.1” 301 247 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /v2/_catalog HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /login.action HTTP/1.1” 301 242 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /config.json HTTP/1.1” 301 241 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /api/search?folderIds=0 HTTP/1.1” 301 252 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:42 +0900] “GET /about HTTP/1.1” 301 235 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /server-status HTTP/1.1” 403 1346 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /?rest_route=/wp/v2/users/ HTTP/1.1” 200 271 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /debug/default/view?panel=config HTTP/1.1” 404 22017 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1” 404 28197 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /info.php HTTP/1.1” 404 24023 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.env HTTP/1.1” 404 27918 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.vscode/sftp.json HTTP/1.1” 404 21991 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /s/0343e2631313e23343e2236313/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties HTTP/1.1” 404 21973 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /.git/config HTTP/1.1” 404 21830 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET / HTTP/1.1” 200 98444 “-” “Mozilla/5.0 (Linux; Android 6.0; HTC One M9 Build/MRA760210) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2720.98 Mobile Safari/537.3”
[03/Apr/2023:09:19:47 +0900] “GET /.DS_Store HTTP/1.1” 404 21995 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:47 +0900] “GET /telescope/requests HTTP/1.1” 404 27947 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /about HTTP/1.1” 404 22592 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /api/search?folderIds=0 HTTP/1.1” 301 0 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /login.action HTTP/1.1” 404 22056 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /config.json HTTP/1.1” 404 22750 “-” “Go-http-client/1.1”
[03/Apr/2023:09:19:48 +0900] “GET /v2/_catalog HTTP/1.1” 404 22101 “-” “Go-http-client/1.1”

inetnum: 139.59.128.0 – 139.59.159.255
  netname: DIGITALOCEAN-AP
descr: DigitalOcean, LLC
country: DE   → (ドイツ)

inetnum: 128.199.0.0 – 128.199.255.255
netname: DigitalOcean
descr: DigitalOcean, LLC
country: US   → (アメリカ合衆国)

三井物産セキュアディレクション様 不正アクセスの傾向分析(UA編)と狙われている脆弱性


 

2023/4/3 15:09

私のblogサイトで、存在しないファイルへのアクセスを試みる

ログは前述とほぼ同じなので割愛。

特徴:

xmlrpc.php

相手:

inetnum: 113.64.0.0 – 113.95.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN   → (中国)

対処:そのサイトに対し中国からのアクセスを全てブロック

 

2023/4/3 16:59

私のトップドメインで、存在しないファイルへのアクセスを試みる

ログは前述とほぼ同じなので割愛。

特徴

wlwmanifest.xml

xmlrpc.php

43.207.201.77

相手:

inetnum: 43.200.0.0 – 43.207.255.255
netname: AMAZON-AS-AP
descr: Amazon.com, Inc.
descr: 605 5th Ave S
country: US   → (アメリカ合衆国)

補足:amazon自身ではなく、amazonのウェブサービス(AWS)を利用している企業と推定

 


 

2023/4/3 11:27

私の「複数」のサイトに対し、存在しないファイルへのアクセスを試みる

ログ:

大量だったので、特徴的な個所のみ

wp-includes/wlwmanifest.xml

xmlrpc.php

相手

inetnum: 156.146.34.0 – 156.146.35.255
netname: CDN77_TYO-EQ8
country: JP   → (日本)
admin-c: DLTS1-RIPE
tech-c: DLTS1-RIPE
status: ASSIGNED PA
mnt-by: DATACAMP-MNT


 

2023/4/5 15:29

私のpanサイトで、存在しないファイルへのアクセスを試みる

ログ:省略

相手

inetnum: 89.187.162.0 – 89.187.162.239
netname: CDN77_SGP-EQ3
descr: CDN77 Singapore
country: SG   → (シンガポール)


 

2023/4/8 4:17

私のgameサイトにロシア最大の検索エンジンが収集に来た(不正ではない)

ログ

game.in-jpn.com 213.180.xxx.xxx – – [08/Apr/2023:04:17:11 +0900] “GET /robots.txt HTTP/1.1” 403 2843 “-” “Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)”

対処

情勢を考慮し不要と判断。公式サポートを見ながらとりあえずブロック

robots.txtに追記

User-agent: Yandex
Disallow: /

 


2023/4/8 9:32

私のルートサイトで、存在しないファイルへのアクセスを試みる

ログ

AH01276: Cannot serve directory /home/ad2020/in-jpn.com/public_html/wp-includes/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.cgi,index.php,default_page.html) found, and server-generated directory index forbidden by Options directive

相手:

inetnum: 193.47.61.0 – 193.47.61.255
netname: Serverion_BV-NET
org: ORG-DCB8-RIPE
abuse-c: SB27731-RIPE
country: NL   → (オランダ)


 

2023/4/8 4:27

私のルートサイトで、存在しないファイルへのアクセスを試みる

ログは同類ので省略

相手

NetRange: 134.209.0.0 – 134.209.255.255
NetName: DIGITALOCEAN-134-209-0-0
NetHandle: NET-134-209-0-0-1
OrgName: DigitalOcean, LLC
City: New York
Country: US   → (アメリカ合衆国)

 

2023/4/8 8:25

私のルートサイトで、存在しないファイルへのアクセスを試みる

ログは同類ので省略

相手

NetRange: 159.89.0.0 – 159.89.255.255
NetName: DIGITALOCEAN-159-89-0-0
NetHandle: NET-159-89-0-0-1
OrgName: DigitalOcean, LLC
City: New York
Country: US   → (アメリカ合衆国)






関連記事
スマホやパソコンへのゼロクリック攻撃とは?

[Windows10] デスクトップに入れないブルースクリーン状態からの復活

[PDF] FirefoxのアップデートでPDFの設定が変わる場合の対処法

Windows10タスクバーの日経平均株価,天気予報の表示するしない

サーバーが出したエラーメッセージ