サーバーが落ちる原因が分かった
猫の画像でも見て癒されてから…。
まあ、さっきサーバーが固まったわけであるが…、またかと思った人もいることだろう。私も「またか!」と思った。これはいい加減もっといいサーバーに移るか、httpdをライトなものに置き換えるかしないといけないと思ったわけである。でもまあ、原因がおおよそ分かったのでこれからは多分大丈夫ではないかと思うわけである。いい加減メモリーの節約もして、ここのところ調子が良かったと思ったのだが、さっき記事を更新したら固まった。ブログの更新をした為に固まったのかと思っていた。
もうどうしようかと思ったが、とりあえずsshでまだサーバーに入れたのでpsコマンドなどでプロセスをチェックいたわけである。どうもmt-kiss-mint.cgi(mt-comment.cgiをスパム対策の為にリネームしたもの)が大量に呼び出されて固まったらしい。httpdをrestartしてみたが失敗した。socketのエラーがでてhttpdの起動もできなくなった。しょうがないのでsshからrebootした。一応rebootできてサイトも復活した。
さて、どうしたものかと思い、とりあえず/var/log/messagesを覗きこんでみる。が、OSの起動時のログのみで、特にエラーなどは記録されていなかった。次にblog.kumacchi.comのhttpdのログを見てみるが、特に変わったアクセスなどはなかった。mt-kiss-mint.cgiが沢山呼ばれていたのだから、ログに残るはずなのだが…、負荷が高すぎてログが出来なかったのだろうか?と思いながら途方に暮れていたが、ふと、サプリメント見聞録の方のログをチェックして見ることにした。
すると。。。
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:14 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:16 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:13 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:19 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:47 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:53 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:52 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:55 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:43:57 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:44:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:45:07 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:46:21 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:47:38 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
61.135.125.210 – – [19/Nov/2012:21:50:22 +0900] "POST /mtos/mt-kiss-mint.cgi HTTP/1.1" 504 322
こんな感じであるわあるわ、この頻度だとほとんどアタックだなこれは、mt-commint.cgiを狙ってアクセスしてきているということは、多分スパム投稿プログラムか何かのアクセスではないかと予想してみる。
そうか、blog.kumacchi.comではなかったのか、盲点だった。というかblog.kumacchi.comの方は、過去の教訓から.htaccessで少し中華を弾いてるが、サプリメント見聞録の方は無防備だった。それでサプリメント見聞録の方が狙われたのかもしれない。
マジ盲点だったわー。最近中華の恐怖忘れてたわー。
112.111.188.92
113.31.45.197
113.31.45.200
113.31.45.210
114.247.24.118
114.252.73.70
117.26.201.11
121.205.214.77
175.44.11.212
175.44.17.207
175.44.27.239
175.44.28.58
219.154.133.225
220.161.103.144
220.200.48.189
222.77.227.91
27.159.223.58
27.159.238.113
58.22.123.149
59.60.112.157
59.60.126.94
61.135.125.210
とりあえず、目についたIPアドレスをリストアップしてみた。
まあ、予想通りで、ほぼ全て中華のIPだったわけだが…。
iptables -A INPUT -s 112.111.0.0/16 -j DROP
iptables -A INPUT -s 113.31.0.0/16 -j DROP
iptables -A INPUT -s 114.240.0.0/12 -j DROP
iptables -A INPUT -s 117.24.0.0/13 -j DROP
iptables -A INPUT -s 121.204.0.0/14 -j DROP
iptables -A INPUT -s 175.44.0.0/16 -j DROP
iptables -A INPUT -s 219.154.0.0/15 -j DROP
iptables -A INPUT -s 220.160.0.0/11 -j DROP
iptables -A INPUT -s 220.200.0.0/13 -j DROP
iptables -A INPUT -s 222.76.0.0/14 -j DROP
iptables -A INPUT -s 222.76.0.0/14 -j DROP
iptables -A INPUT -s 27.152.0.0/13 -j DROP
iptables -A INPUT -s 58.22.0.0/15 -j DROP
iptables -A INPUT -s 59.60.0.0/15 -j DROP
iptables -A INPUT -s 61.135.0.0/16 -j DROP
アドレス範囲をまるごと、iptablesで焼いてあげました。
IPアドレスをどんどん切り替えながら来てるので、ボットネットを利用したスパム投稿系だと思われるが、その為どんどん追加していく必要がありそう。いっそのこと中華まるごと焼くのが吉だと思われる。中華は人口も多い分IPアドレスも多いので一個一個やってても埒があかない。やるなら丸ごと焼いたほうが手っ取り早い。中国とやり取りがある人はそうは行かないと思うが…。
古いサイトだが下記のサイトの記事が、とても役に立つと思われる。中華進出しないVPSユーザーはチャイナリスクに対処しておくと幸せになれるかも知れない。昔は韓国、ブラジル、アルゼンチン、ロシアあたりからのアタックもひどいものがあったが最近は落ち着いたのだろうか?
そういうわけで、iptablesをどんどん追加して、アタックに備えたいと思います。多いようだとユーザー定義チェイン書いたほうがいいかも知れない。
タグ : iptables, Linux, Movable Type, セキュリティ