サーバーが落ちる原因が分かった

TS3Y0077
猫の画像でも見て癒されてから…。
まあ、さっきサーバーが固まったわけであるが…、またかと思った人もいることだろう。私も「またか!」と思った。これはいい加減もっといいサーバーに移るか、httpdをライトなものに置き換えるかしないといけないと思ったわけである。でもまあ、原因がおおよそ分かったのでこれからは多分大丈夫ではないかと思うわけである。いい加減メモリーの節約もして、ここのところ調子が良かったと思ったのだが、さっき記事を更新したら固まった。ブログの更新をした為に固まったのかと思っていた。

もうどうしようかと思ったが、とりあえずsshでまだサーバーに入れたのでpsコマンドなどでプロセスをチェックいたわけである。どうもmt-kiss-mint.cgi(mt-comment.cgiをスパム対策の為にリネームしたもの)が大量に呼び出されて固まったらしい。httpdをrestartしてみたが失敗した。socketのエラーがでてhttpdの起動もできなくなった。しょうがないのでsshからrebootした。一応rebootできてサイトも復活した。

さて、どうしたものかと思い、とりあえず/var/log/messagesを覗きこんでみる。が、OSの起動時のログのみで、特にエラーなどは記録されていなかった。次にblog.kumacchi.comのhttpdのログを見てみるが、特に変わったアクセスなどはなかった。mt-kiss-mint.cgiが沢山呼ばれていたのだから、ログに残るはずなのだが…、負荷が高すぎてログが出来なかったのだろうか?と思いながら途方に暮れていたが、ふと、サプリメント見聞録の方のログをチェックして見ることにした。

すると。。。

61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:14 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:16 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:19 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:53 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:55 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:57 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:44:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:46:21 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:47:38 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:50:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322

こんな感じであるわあるわ、この頻度だとほとんどアタックだなこれは、mt-commint.cgiを狙ってアクセスしてきているということは、多分スパム投稿プログラムか何かのアクセスではないかと予想してみる。

そうか、blog.kumacchi.comではなかったのか、盲点だった。というかblog.kumacchi.comの方は、過去の教訓から.htaccessで少し中華を弾いてるが、サプリメント見聞録の方は無防備だった。それでサプリメント見聞録の方が狙われたのかもしれない。

マジ盲点だったわー。最近中華の恐怖忘れてたわー。

112.111.188.92    
113.31.45.197  
113.31.45.200
113.31.45.210
114.247.24.118   
114.252.73.70
117.26.201.11   
121.205.214.77   
175.44.11.212   
175.44.17.207
175.44.27.239
175.44.28.58
219.154.133.225   
220.161.103.144   
220.200.48.189   
222.77.227.91   
27.159.223.58   
27.159.238.113
58.22.123.149   
59.60.112.157   
59.60.126.94
61.135.125.210   

とりあえず、目についたIPアドレスをリストアップしてみた。

 

20111587
IPアドレスツールズ – KUMA TYPE

まあ、予想通りで、ほぼ全て中華のIPだったわけだが…。

iptables -A INPUT -s 112.111.0.0/16 -j DROP
iptables -A INPUT -s 113.31.0.0/16  -j DROP
iptables -A INPUT -s 114.240.0.0/12 -j DROP
iptables -A INPUT -s 117.24.0.0/13  -j DROP
iptables -A INPUT -s 121.204.0.0/14 -j DROP
iptables -A INPUT -s 175.44.0.0/16  -j DROP
iptables -A INPUT -s 219.154.0.0/15 -j DROP
iptables -A INPUT -s 220.160.0.0/11 -j DROP
iptables -A INPUT -s 220.200.0.0/13 -j DROP
iptables -A INPUT -s 222.76.0.0/14  -j DROP
iptables -A INPUT -s 222.76.0.0/14  -j DROP
iptables -A INPUT -s 27.152.0.0/13  -j DROP
iptables -A INPUT -s 58.22.0.0/15   -j DROP
iptables -A INPUT -s 59.60.0.0/15   -j DROP
iptables -A INPUT -s 61.135.0.0/16  -j DROP

アドレス範囲をまるごと、iptablesで焼いてあげました。

IPアドレスをどんどん切り替えながら来てるので、ボットネットを利用したスパム投稿系だと思われるが、その為どんどん追加していく必要がありそう。いっそのこと中華まるごと焼くのが吉だと思われる。中華は人口も多い分IPアドレスも多いので一個一個やってても埒があかない。やるなら丸ごと焼いたほうが手っ取り早い。中国とやり取りがある人はそうは行かないと思うが…。

古いサイトだが下記のサイトの記事が、とても役に立つと思われる。中華進出しないVPSユーザーはチャイナリスクに対処しておくと幸せになれるかも知れない。昔は韓国、ブラジル、アルゼンチン、ロシアあたりからのアタックもひどいものがあったが最近は落ち着いたのだろうか?

うざい国からのアクセスを全て遮断

そういうわけで、iptablesをどんどん追加して、アタックに備えたいと思います。多いようだとユーザー定義チェイン書いたほうがいいかも知れない。

タグ : , , ,