初心者がサイバー攻撃から自分の自社のサーバーを守る方法
トップページへ
旧タイトル サーバー被害を受けた経験談
まず、私の技能レベルを書きます。
パソコン:自分でトラブル対応できる
サーバー:ほぼ素人。初心者。ネットの情報をコピペして対応まで
そのうえで「ほぼ100%、完全にサーバーを守りたい」という方は専門業者にご依頼下さい。
この記事は「なるべくお金をかけず、とりあえず自分で対応したいという方向けの内容」です。
(当方は情報提供のみで、あらゆるトラブルにおいて当方が責任を負うことはできません)
目次
その1 ログを見る
その2 不審な相手だけに注目する
その3 注意すべき相手
その4 要注意相手からのアクセスをブロックする
4-1 .htaccessファイルについて
その5 特定の国はブロックする
その他 サーバー被害を受けた経験談
その1 ログを見る・怪しいメールには注意する
・ログを見る
契約している大半のレンタルサーバーでは「アクセスログ」「エラーログ」といった名称のものを日次で配布されているのが一般的だと思います。それをダウンロード(以下、DL)します。Windowsなら標準ソフトのメモ帳で見ることができます。
・怪しいメールには注意する
タイトルや送信者、相手のメールアドレスを見て「違和感」を感じたら開かずに削除するのが1つの手です。
また添付ファイルは「相手が信頼できる場合のみ開く」ようにしましょう。
その2 不審な相手だけに注目する
これには「慣れ」が必要です。
このログは私が契約しているサーバーでDLしたログの一部です。なおサンプルなので一部改編しています。
it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:03:30:07 +0900] “GET /wp-content/uploads/2021/10/excel-password-13.webp HTTP/1.1” 200 5872 “-” “python-httpx/0.26.0″
このログのように「HTTP/1.1” 200 5872 」、数字の「200」が入っているのは正常です。基本的に200が入っているログは無視して下さい。気になる場合はメモだけしておいて下さい。
注意すべきは数字の「403」「404」を含むログです。
「403はアクセスする権限がないのにアクセスをしてきた」
it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:10:54:22 +0900] “GET /demo/wp-login.php HTTP/1.1” 403 1189 “-” “Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0″
の「HTTP/1.1” 403 1189 “-“」
403はファイルとしては存在するが、管理者(サーバーを管理している人、組織)以外の人が表示しようとすると403となります。
とくにWordPress(ワードプレス)といったブログサービスや買い物カート、掲示板などを自分のサーバーで運用している場合は、狙われやすいと思います。
「404は存在しないファイル、ディレクトリ(フォルダ)にアクセスをしてきた」
it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:04:48:10 +0900] “HEAD /syouhin-a.html HTTP/1.1” 404 0 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0″
の「HTTP/1.1” 404 0 “-“」
ただし、以前は公開していたファイルをすでに削除していた場合は「404」となることがあります。この上の「(仮)syouhin-a.html」は「昔は存在したファイル、ディレクトリ」なら問題はありません、無視して下さい。
ただしこの例で言う「syouhin-a.html」が一度も作成していないファイル名なら注意が必要で、一応メモはしても良いかもしれません。あまりにもひんどが高い場合は後述のブロックなどの処置が必要かもしれません
その3 注意すべき相手
403や404へアクセスをしてくる人が注意すべき相手です。
初心者の私の推測ですが「サーバー攻撃をする相手の目的」は
3-A サーバーへのログインするIDやパスワードを盗む(情報漏えいのたぐい)
・様々な方法でログインを試みます。
・WordPressの場合「アクセス禁止あるいは特定のコマンド」を入力することで、登録済みのログインIDすべてを把握することが可能です。悪事をたくらむグループはそのIDに対し、パスワードとして適当な文字列を入力することでログインを試みます。成功すれば、記事の投稿が可能となります。
3-B Aに成功したら「御社サーバーを利用してウィルスをばらまく」「暗号資産や個人情報を持っている他のサーバーへ攻撃するための踏み台として御社サーバーを利用」
・第3者にログインをされてしまうとファイルをアップロードしたり、サーバー上のファイルを改ざん、中身を閲覧、ダウンロードされる場合があります。
3-C Aに成功したら、御社サーバー内にある情報を盗み、それをもとに金銭を要求、身代金タイプ(病院サーバーでのカルテ盗聴、ゲームメーカーの開発中ソフトのプログラムソースなど)
3-D 御社サーバーに大量のデータを送って負荷をかける単なる嫌がらせ。結果、サーバーがアクセスしづらくなります。
のいずれかではないかと推定しています。
その4 要注意相手からのアクセスをブロックする
先ほどの
it.in-jpn.com 12.134.156.78 – – [25/Jun/2024:10:54:22 +0900] “GET /demo/wp-login.php HTTP/1.1” 403 1189 “-” “Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0”
で冒頭の「12.134.156.78」がIPアドレスと言います。一応、この数字で相手の国籍・相手が契約しているインターネットプロバイダは特定できますが、個人を特定することはできないだけでなく詐称することができるので確証のある数字ではありません。
ですがアクセスログを日々見ていると、
・毎回毎回同じIPアドレスで 403 / 404 のアクセスをしてくる。
・どうも違和感のあるアクセスをしてくる IPアドレスがある。
ことに気付けるようになります。
とにかく「その怪しいIPアドレスのアクセス回数を減らしたい」という場合に有効なのが、IPアドレスでブロックという方法です。下記の3つやご契約のレンタルサーバーのヘルプをご覧下さい。
ただし、「本当にブロックして良いのかどうかわからない、悩む」場合は、後述の「IPアドレスで相手の組織を調べる」を先にご覧下さい。
エックスサーバー
お名前.com
ロリポップ
■IPアドレスで相手の組織を調べる
方法その1 調べられるサイトで調べる
いくつか存在しますが、その1つです。
https://www.ip-domain-search.com/
方法その2 WordPressならプラグインを導入する
ただし2024年夏ごろから下記のIP Location Blockではエラーが多発しているので、私は使っていません。IP Location Blockが使えない場合は、他者の同種プラグインをご検討して下さい。
数個のIPアドレスならネットで調べてもかまいませんが、日々ログを見ながら調べる場合ではとても物足りません。
もしWordPress(ワードプレス)をお使いなら大量のIPアドレスでも、次のプラグインで簡単に調べることができます。
「新規プラグインを追加」で次の名称で検索し、作者名をご確認のうえ自己責任でインストールして下さい。
プラグイン名: IP Location Block
作者: IP Location Block
その他:ユーザー登録不要、無料プラグイン
調べたいIPアドレスを入力して「今すぐ検索」
データがあれば表示されます。最新のIPアドレスを除き、9割以上の確率でわかります。
この結果より
NL(オランダ)のLime-net(Limenet)を利用した個人か組織による不正アクセスとほぼ断定(偽証している場合は中継サーバーとしてこれを利用と推定)しました。
注意点として
アクセスしている相手が「偽装、詐称」している場合があります。ですので「そのIPアドレスが確実にその国、その組織とは言い切れません」
ただし「そのIPアドレスでのアクセスをブロックする」ことを、こまめに行うことで、不審なアクセスを減らせる可能性はあります。
.htaccessファイルについて
私の場合は前述の初心者向きのブロックの方法では、量として足りなくなったので、
.htaccessという重要なファイルを直接開いて、ブロックするIPアドレスを日々追加しているのですが、手間をかけた結果、不審なアクセスを大幅に減らすことができています。
※.htaccessというファイルの編集は一歩間違えると、サーバーを公開できなくなります。どうしても編集したい方は、ネット上の情報や前述の「ロリポップ」の情報を参考に、自己責任のうえ慎重に行って下さい。
その5 特定の国はブロックする
国単位でブロックすることは可能です。ただし、迂回することにアクセスされる可能性はありますが、被害を受ける頻度を抑える可能性はあります。
もちろん、読者様によってブロックすることで取引に支障が出る場合がありますので、判断は慎重にお願いします。なお私は中国と北朝鮮は最初から、ロシアは発見次第ブロックしています。
関連記事
サーバー被害を受けた経験談
■受けた時期
2024年4月中旬からこの記事の初回投稿時(6月上旬)まで継続中
■被害内容
・サーバーへの高い負荷。負荷によって、一般の閲覧者が閲覧しづらい状況が不定期で発生。
■当方が行った対処
・パスワードを長いものへ変更
・不要なディレクトリの削除
・不要なプラグインの削除
*プラグインとはWordPressというツールを使用している場合に追加できるソフトの総称です。
■自社のサーバーが被害を受けないようにするには
●誰でもできる範囲として
「パスワード」
誕生日など推定されやすい文字は避ける
長いパスワードに変更する
・非公開ディレクトリは安易な名前にしない
●該当者のみ
・未使用のプラグインは削除する。特定のプラグインは設定情報を特定のファイルに保持しているため、ハッカーはそのファイルを直接狙ってきます。
・サーバーにテスト環境を残していないかチェックする。
・特定のプログラム(サーバーにインストールするソフト)には環境情報、設定情報を特定のファイルに保持させている場合があり、ハッカーはそのファイルのあるディレクトリを把握しているので、総当たりで攻撃してきます。よって、そのプログラムがなければ心配は無用です。
●自身で対応できない人
“サーバーの専門家”に依頼すべきです。パソコンにちょっと詳しい人ではダメです。あくまでもサーバーの専門家を頼りましょう。