サーバーが落ちる原因が分かった
猫の画像でも見て癒されてから…。
まあ、さっきサーバーが固まったわけであるが…、またかと思った人もいることだろう。私も「またか!」と思った。これはいい加減もっといいサーバーに移るか、httpdをライトなものに置き換えるかしないといけないと思ったわけである。でもまあ、原因がおおよそ分かったのでこれからは多分大丈夫ではないかと思うわけである。いい加減メモリーの節約もして、ここのところ調子が良かったと思ったのだが、さっき記事を更新したら固まった。ブログの更新をした為に固まったのかと思っていた。
もうどうしようかと思ったが、とりあえずsshでまだサーバーに入れたのでpsコマンドなどでプロセスをチェックいたわけである。どうもmt-kiss-mint.cgi(mt-comment.cgiをスパム対策の為にリネームしたもの)が大量に呼び出されて固まったらしい。httpdをrestartしてみたが失敗した。socketのエラーがでてhttpdの起動もできなくなった。しょうがないのでsshからrebootした。一応rebootできてサイトも復活した。
さて、どうしたものかと思い、とりあえず/var/log/messagesを覗きこんでみる。が、OSの起動時のログのみで、特にエラーなどは記録されていなかった。次にblog.kumacchi.comのhttpdのログを見てみるが、特に変わったアクセスなどはなかった。mt-kiss-mint.cgiが沢山呼ばれていたのだから、ログに残るはずなのだが…、負荷が高すぎてログが出来なかったのだろうか?と思いながら途方に暮れていたが、ふと、サプリメント見聞録の方のログをチェックして見ることにした。
すると。。。
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:14 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:16 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:19 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:53 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:55 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:57 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:44:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:46:21 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:47:38 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:50:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
こんな感じであるわあるわ、この頻度だとほとんどアタックだなこれは、mt-commint.cgiを狙ってアクセスしてきているということは、多分スパム投稿プログラムか何かのアクセスではないかと予想してみる。
そうか、blog.kumacchi.comではなかったのか、盲点だった。というかblog.kumacchi.comの方は、過去の教訓から.htaccessで少し中華を弾いてるが、サプリメント見聞録の方は無防備だった。それでサプリメント見聞録の方が狙われたのかもしれない。
マジ盲点だったわー。最近中華の恐怖忘れてたわー。
112.111.188.92
113.31.45.197
113.31.45.200
113.31.45.210
114.247.24.118
114.252.73.70
117.26.201.11
121.205.214.77
175.44.11.212
175.44.17.207
175.44.27.239
175.44.28.58
219.154.133.225
220.161.103.144
220.200.48.189
222.77.227.91
27.159.223.58
27.159.238.113
58.22.123.149
59.60.112.157
59.60.126.94
61.135.125.210
とりあえず、目についたIPアドレスをリストアップしてみた。
まあ、予想通りで、ほぼ全て中華のIPだったわけだが…。
iptables -A INPUT -s 112.111.0.0/16 -j DROP
iptables -A INPUT -s 113.31.0.0/16 -j DROP
iptables -A INPUT -s 114.240.0.0/12 -j DROP
iptables -A INPUT -s 117.24.0.0/13 -j DROP
iptables -A INPUT -s 121.204.0.0/14 -j DROP
iptables -A INPUT -s 175.44.0.0/16 -j DROP
iptables -A INPUT -s 219.154.0.0/15 -j DROP
iptables -A INPUT -s 220.160.0.0/11 -j DROP
iptables -A INPUT -s 220.200.0.0/13 -j DROP
iptables -A INPUT -s 222.76.0.0/14 -j DROP
iptables -A INPUT -s 222.76.0.0/14 -j DROP
iptables -A INPUT -s 27.152.0.0/13 -j DROP
iptables -A INPUT -s 58.22.0.0/15 -j DROP
iptables -A INPUT -s 59.60.0.0/15 -j DROP
iptables -A INPUT -s 61.135.0.0/16 -j DROP
アドレス範囲をまるごと、iptablesで焼いてあげました。
IPアドレスをどんどん切り替えながら来てるので、ボットネットを利用したスパム投稿系だと思われるが、その為どんどん追加していく必要がありそう。いっそのこと中華まるごと焼くのが吉だと思われる。中華は人口も多い分IPアドレスも多いので一個一個やってても埒があかない。やるなら丸ごと焼いたほうが手っ取り早い。中国とやり取りがある人はそうは行かないと思うが…。
古いサイトだが下記のサイトの記事が、とても役に立つと思われる。中華進出しないVPSユーザーはチャイナリスクに対処しておくと幸せになれるかも知れない。昔は韓国、ブラジル、アルゼンチン、ロシアあたりからのアタックもひどいものがあったが最近は落ち着いたのだろうか?
そういうわけで、iptablesをどんどん追加して、アタックに備えたいと思います。多いようだとユーザー定義チェイン書いたほうがいいかも知れない。
タグ : iptables, Linux, Movable Type, セキュリティ
関連記事:
最近また中華からのスパムbotが酷い件
不正アクセス対策を行なってサーバーが安定した件
サプリメント見聞録のDBのサイズがとんでもないことになっていたので対処した件
[Linuxメモ]SaaSesのVPS、OsukiniサーバーLTで行った設定の私的メモ
未明にxmlrpc.phpが攻撃されていたので激重になってた件
[CentOS]FTPサーバーをパッシブモードで使う時の設定
WordPressプラグインAuto Post Thumbnailが動作しなくなっている件
[Linuxメモ]Osukini Server LTのメモリ節約
最近コメントスパム対策していてわかった事。
CentOS 5.9にてyumでperlアップデート後List::Utilがエラーになる件- Nginx+FCGI(fastcgi-wrapper.pl)+perlでPOSTが80KBぐらいまでしか送れずそれ以上だと空になってしまう件
ダイナミックパブリッシングでスタイルが混ざっちゃう現象の画像
【perlメモ】Text::MicroTemplateモジュールはやっぱり便利だった。- 【Movable Type】BayesSpamFilterプラグインがMovable Type 5でも動作した件
[Linuxメモ]Osukini Server LTに引っ越してからやったことのまとめ
[MT]Movable TypeにCAPTCHAによる認証機能を付けてみた。- 【perlメモ】ヒアドキュメントの中に直接コードを書く方法
ブログをMTからMelodyに移行してみた、んだけど、やっぱりMTOSにした。
[WordPressメモ]the_post_thumbnailで特殊なサイズのサムネイルを指定して表示するときの注意点
cpanmのインストール方法
[Linuxメモ]nginxでリバースプロキシしてみた- 【セキュリティホール memo】セキュリティーホール memoで個人的に気になった記事【2010.08.24】
Google Chrome 拡張機能『Autofill』でパスワード自動入力
[MT]Movable Type 4.34から4.35へセキュリティアップデート- Cent OS 5.3にrkhunterとchkrootkitをインストール
- Error: Transaction Check Error: installing package kernel-2.6.9-89.0.25.EL needs 333KB on the /boot filesystem
- telnetコマンドを利用してhttpサーバのレスポンスを手軽に見る方法
- [Linuxメモ]利用ポートからプロセスを調べる
Webminのバージョン1.530がリリースされています
【Linuxメモ】Linuxの起動時にデスクトップを起動しないようにするには?
