初心者がサイバー攻撃から自分の自社のサーバーを守る方法




トップページへ

旧タイトル サーバー被害を受けた経験談

 

まず、私の技能レベルを書きます。

パソコン:自分でトラブル対応できる

サーバー:ほぼ素人。初心者。ネットの情報をコピペして対応まで

そのうえで「ほぼ100%、完全にサーバーを守りたい」という方は専門業者にご依頼下さい。

この記事は「なるべくお金をかけず、とりあえず自分で対応したいという方向けの内容」です。

(当方は情報提供のみで、あらゆるトラブルにおいて当方が責任を負うことはできません)

 

目次

その1 ログを見る

その2 不審な相手だけに注目する

その3 注意すべき相手

その4 相手からのアクセスをブロックする

その5 特定の国はブロックする

その他 サーバー被害を受けた経験談

 

その1 ログを見る

契約している大半のレンタルサーバーでは「アクセスログ」「エラーログ」といった名称のものを日次で配布されているのが一般的だと思います。それをダウンロード(以下、DL)します。Windowsならメモ帳といった標準ソフトで見ることができます。

 

その2 不審な相手だけに注目する

これには「慣れ」が必要です。

このログは私が契約しているサーバーでDLしたログの一部です。なおサンプルなので一部改編しています。

 

it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:03:30:07 +0900] “GET /wp-content/uploads/2021/10/excel-password-13.webp HTTP/1.1” 200 5872 “-” “python-httpx/0.26.0″

このログのように「HTTP/1.1” 200 5872 」、数字の「200」が入っているのは正常です。基本的に200が入っているログは無視して下さい。気になる場合はメモだけしておいて下さい。

 

注意すべきは数字の「403」「404」を含むログです。

 

「403はアクセスする権限がないのにアクセスをしてきた」

it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:10:54:22 +0900] “GET /demo/wp-login.php HTTP/1.1” 403 1189 “-” “Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0″

の「HTTP/1.1” 403 1189 “-“」

403はファイルとしては存在するが、管理者(サーバーを管理している人、組織)は操作、アクセスできるが、それ以外の人は認められていないファイルに対し相手がアクセスしてくると403を表示します。

とくにWordPress(ワードプレス)といったブログサービスや買い物カート、掲示板などを自分のサーバーで運用している場合は、狙われやすいと思います。

 

「404は存在しないファイル、ディレクトリ(フォルダ)にアクセスをしてきた」

it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:04:48:10 +0900] “HEAD /syouhin-a.html  HTTP/1.1” 404 0 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0″

の「HTTP/1.1” 404 0 “-“」

 

ただし、以前は公開していたファイルをすでに削除していた場合は「404」となることがあります。ここの「syouhin-a.html(仮称)」は「過去にあったファイル、ディレクトリ」なら問題はありません、無視して下さい。

ただしこの例で言う「syouhin-a.html」が一度も作成していないファイル名なら注意が必要です。

 

その3 注意すべき相手

403や404へアクセスをしてくる人が注意すべき相手です。

初心者の私の推測ですが「サーバー攻撃をする相手の目的」は

 

3-A サーバーへのログインするIDやパスワードを盗む(情報漏えいのたぐい)

3-B Aに成功したら「御社サーバーを利用してウィルスをばらまく」「暗号資産や個人情報を持っている他のサーバーへ攻撃するための踏み台として御社サーバーを利用」

3-C Aに成功したら、御社サーバー内にある情報を盗み、それをもとに金銭を要求、身代金タイプ(病院サーバーでのカルテ盗聴、ゲームメーカーの開発中ソフトのプログラムソースなど)

3-D 御社サーバーに大量のデータを送って負荷をかける単なる嫌がらせ。結果、サーバーがアクセスしづらくなります。

のいずれかではないかと推定しています。

 

その4 相手からのアクセスをブロックする

先ほどの

it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:10:54:22 +0900] “GET /demo/wp-login.php HTTP/1.1” 403 1189 “-” “Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0”

で冒頭の「12.134.156.78」がIPアドレスと言います。一応、この数字で相手の国籍・相手が契約しているインターネットプロバイダは特定できますが、個人を特定することはできないだけでなく詐称することができるので確証のある数字ではありません。

 

ですがアクセスログを日々見ていると、

・毎回〃同じIPアドレスで 403 / 404 のアクセスをしてくる。

・どうも違和感のあるアクセスをしてくる IPアドレスがある。

ことに気付けるようになります。

 

とにかく「その怪しいIPアドレスのアクセス回数を減らしたい」という場合に有効なのが、IPアドレスでブロックという方法です。下記の3つやご契約のレンタルサーバーのヘルプをご覧下さい。

ただし、「本当にブロックして良いのかどうかわからない、悩む」場合は、後述の「IPアドレスで相手の組織を調べる」を先にご覧下さい。

 

エックスサーバー

アクセス拒否設定

 

お名前.com

サイトへのアクセスをIPアドレス単位で制限する

 

ロリポップ

特定のホスト・IPの許可と制限方法

 

■IPアドレスで相手の組織を調べる

数個のIPアドレスならネットで調べてもかまいませんが、日々ログを見ながら調べる場合ではとても物足りません。

もしWordPress(ワードプレス)をお使いなら大量のIPアドレスでも、次のプラグインで簡単に調べることができます。

「新規プラグインを追加」で次の名称で検索し、作者名をご確認のうえ自己責任でインストールして下さい。

プラグイン名: IP Location Block

作者:  IP Location Block

その他:ユーザー登録不要、無料プラグイン

 

調べたいIPアドレスを入力して「今すぐ検索」

ワードプレス用プラグイン「IP Location Block」でIPアドレスを入力して検索する画面

データがあれば表示されます。最新のIPアドレスを除き、9割以上の確率でわかります。

ワードプレス用プラグイン「IP Location Block」でIPアドレスを入力して検索した結果画面

この結果より

NL(オランダ)のLime-net(Limenet)を利用した個人か組織による不正アクセスとほぼ断定(偽証している場合は中継サーバーとしてこれを利用と推定)しました。

 

注意点として

アクセスしている相手が「偽装、詐称」している場合があります。ですので「そのIPアドレスが確実にその国、その組織とは言い切れません」

ただし「そのIPアドレスでのアクセスをブロックする」ことを、こまめに行うことで、不審なアクセスを減らせる可能性はあります。

 

私の場合は前述の初心者向きのブロックの方法では、量として足りなくなったので、

.htaccessという重要なファイルを直接開いて、ブロックするIPアドレスを日々追加しているのですが、手間をかけた結果、不審なアクセスを大幅に減らすことができています。

 

※.htaccessというファイルの編集は一歩間違えると、サーバーを公開できなくなります。どうしても編集したい方は、ネット上の情報や前述の「ロリポップ」の情報を参考に、自己責任のうえ慎重に行って下さい。

 

 

その5 特定の国はブロックする

国単位でブロックすることは可能です。ただし、迂回することにアクセスされる可能性はありますが、被害を受ける頻度を抑える可能性はあります。

もちろん、読者様によってブロックすることで取引に支障が出る場合がありますので、判断は慎重にお願いします。なお私は中国と北朝鮮は最初から、ロシアは発見次第ブロックしています。

 

関連記事

中国、北朝鮮、ロシア、ベラルーシからのアクセスをブロック

 

 

サーバー被害を受けた経験談

■受けた時期

2024年4月中旬からこの記事の初回投稿時(6月上旬)まで継続中

 

■被害内容

・サーバーへの高い負荷。負荷によって、一般の閲覧者が閲覧しづらい状況が不定期で発生。

 

■当方が行った対処

・パスワードを長いものへ変更

・不要なディレクトリの削除

・不要なプラグインの削除

*プラグインとはWordPressというツールを使用している場合に追加できるソフトの総称です。

 

■自社のサーバーが被害を受けないようにするには

●誰でもできる範囲として

「パスワード」

誕生日など推定されやすい文字は避ける

長いパスワードに変更する

 

・非公開ディレクトリは安易な名前にしない

 

●該当者のみ

・未使用のプラグインは削除する。特定のプラグインは設定情報を特定のファイルに保持しているため、ハッカーはそのファイルを直接狙ってきます。

・サーバーにテスト環境を残していないかチェックする。

・他社製のプログラムなどには環境情報、設定情報を特定のファイルに保持させている場合があり、ハッカーはそのファイルのあるディレクトリを把握しているので、総当たりで攻撃してきます。よって、そのプログラムがなければ心配は無用です。

 

●自身で対応できない人

“サーバーの専門家”に依頼すべきです。パソコンにちょっと詳しい人ではダメです。あくまでもサーバーの専門家を頼りましょう。





ほかの ドメイン の記事

中国国内のネットワークの企業名とIPアドレスの一部リスト

[PR記事]無料ブログでは物足りない、お店や企業のホームページを作りたい人にはエックスサーバー

検索順位が下がったアクセス数が減った時の体験談

Webロボット/Webクローラー/Webスパイダーについてのメモ

中国、北朝鮮、ロシア、ベラルーシからのアクセスをブロック