鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzusuzu.dip.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

不正アクセス(?)検出・・・サーバー異常負荷の顛末、さて覚悟は宜しいか?

一昨日にここ最近サーバーが重いと記事にした後、ちょっと動きが有ったので再度記事にしておきます。

結果から言うと、サーバーの負荷は正常に戻りました。
とは言え相変わらず攻撃は続いていますが・・・。
余りに重かったので猿アクセス炙り出し用のログはもう必要なくなったのもあり、カットしていたのですが
重くなくなったおかげでそれも再度取得を開始しました。


今回の件を平たく簡単に説明すれば、10年以上前に活躍していた古い残骸のCGIに対しての異常アクセスでした。
うちの色んな残りかすCGIへのおかしなアクセスを連投しておりました・・・というか未だに継続中です。
異常負荷を私に悟られたのでどうやら攻撃頻度を落としたようです。
私が先の記事で異常に気付いていることを察知した攻撃者の方が慌てて攻撃スクリプトをいじったのでしょう。


それはそうと、今回の攻撃に対しての推測ですが・・・。
うちのサイトは以前から色々攻撃に晒されております。

その中でも一番の攻撃は消防署の方からやってきました・・・ではなくて、ソフトバンクの方から
やってきたと思われる攻撃。

これはうちの記事ネタに上がるメインがソフトバンクだった時代が長きにわたって続いていましたが、
それと被る時期に、自由自在にうちのサイトに不正ログインし、色んな設定を書き換えたりクリアしたり。
WEBサーバーの設定を完全消去してホスティングを止めたりと、まあ悪質この上ない攻撃を年単位で
行ってくれておりました。

初めはその原因に気づかなかったのですが、途中から敢えてそれを放置し、罠ログの記録を増やしていき、
記録された罠ログを管轄の警察に提出するようにしていきました。

最終的にはニュースで大々的に「ソフトバンクの方からやってきました」と、明らかな企業名が出るように
確信が持てるところまで詰めて全力出動GOサインを警察に出す予定でしたが、それが叶わぬまま
攻撃がやんでしまいました。うっかりログ提出をほのめかしてしまったことが原因だと思われます。


今回の攻撃は・・・今私の記事の主な対象はソフトバンクではありません。更にソフトバンク方面の方は
私の罠を既に知っておりますから、少々の事では手を出してこないと思われます。


今私の興味はアップル方面・・・ということは?

ソフトバンク方面の方と、やっていることも攻撃法も、全く別種で違うものです。
まあそういうことで、単純に考えるならその関連方面の方である可能性が高いと思います。

ソフトバンク方面の方のように鮮やかな手法でもなくちょっと泥臭い。
ソフトバンク方面の方は「さすがプロ」と思わせるスマートな攻撃でした。
巨大企業が敵に回る恐ろしさをたーーーんと味わわせて頂きました。

まあ巨大企業が単なる一個人を攻撃することのリスクを全く無視した攻撃だと
ニヨニヨしながら私はログを提出していたわけですけど・・・。


さて今回の攻撃は、個人なのか企業なのか。
私はまだそこまで詰められていません。


今回の攻撃者は当たり前ですが海外サーバーをご利用でした。
tracertはこんな感じ。
7 154 ms 122 ms 139 ms ip-61-14-158-76.asianetcom.net [61.14.158.76]
8 265 ms 266 ms 302 ms te0-1-0-6.gw3.sjc1.10026.telstraglobal.net [61.14.157.98]
9 270 ms 267 ms 276 ms xe-1-1-1-0.gw1.lon1.10026.telstraglobal.net [202.147.50.169]
10 * * * 要求がタイムアウトしました。
11 293 ms 298 ms 299 ms te-0-0.251.asr.s80.spb.pinspb.ru [95.215.3.148]
12 303 ms 346 ms 297 ms te-1-1-106.c65.s80.spb.pinspb.ru [95.215.3.30]
13 * 293 ms 294 ms 188.143.232.26   ←誰?

個人じゃなく、海外のレンタルサーバーっぽかったので公開しておきます。


gw.orange.comのような分かりやすいホストから来てくれていたら瞬殺なのですが、
仮にそうだったとしてもそんなことは絶対ないわけで・・・。
まあ世の中には素直で無知なGeteKeeperな素似居君のような例も有りますが、
だいたいうちに来るのはそういう素人部署ではなく、基本プロ的な関係者でしょう。

もし世界的な大企業がわざわざ一個人にアタックしてくれていたとすると、こんな感謝できる
有り難い話はないわけで、もうニヨニヨが止まらないのです。
もしかするとロイターやAP通信、CNN辺りがうちに取材来てくれるかも?w
国内の隔日、夕日等の反日雑魚は受けませんので、通信会社か他のメディアから供給受けてね♡


それはともかく、今の所はオレンジ・・・信者・・・?
いやいやiPhone関連が絡んでいる可能性は高いかなと踏んでおります。

もしかすると何ちゃんねるかの関係かなー?
こういった纏まった攻撃は久しぶりなので、追及の勘が若干鈍っていることも有り、ぱしっと
これだという確信に一気に迫れません。


ともあれ、うちのサイトは時としてこういったことをする方が現れますが、取り敢えず攻撃内容が
はっきりと抽出できて手順が分かればログはきちんと当局に提出されてしまいますので、
そのつもりでよろしくお願いします。

今回の事を含め、得るものはほぼ無いのに、リスクだけ満載という状況に挑んでこられているので、
「よくやるなー」とか思いながらサーバーを眺めていたりします。



ちなみにうちのサーバーは離れに組んであるのですが、サーバの背面やルーター等のランプは
離れの入口からよく見える配置となっています。つまり、特に夜間では異常アクセスがあれば
ドアを開けた瞬間に気付くように設置してあるってことです。

今回は確かにちょっとアクセスがおかしいなというのはサーバーPCのファンの音と同時にアクセス
ランプの光り方の変化で気づいておりました。超アナログ的ですが、こういった細かい措置が意外と
効いてくるんですよね。


そんなわけで、取り敢えずサーバーは正常に戻ったので良しとしましょうか。
運用終了していたまま放置状態だった古いCGIも片づけました。
オレンジ・・・いやいや、今回身に覚えのある方面の方、軽々しい行動はとりあえず身に
降りかかるものが有ることぐらいは覚悟しておいた方が宜しいですよ。

私がGOサインを出すときは、相手に最大ダメージを与えるように考えて動きますので。



とりま、うちはやっぱりそういった方の攻撃対象になりやすいサイトのようです。
大人気過ぎて困っちゃう(;´・ω・)

関連記事
  1. 2017/01/23(月) 02:55:02|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:6
<<Googleが実装開始したWebAPK、恐らくPCもスマホも将来の状況を一変させる・・・今の一連の動きはWindows/MacOS/iOSの駆逐まで狙ってるのか? | ホーム | 【Kantar Worldpanel】アップルはどこかの数字で必死に売れている感を演出する為にギリギリの戦いを挑んでいる>>

コメント

さすが鈴さん。
いろいろと計算して組んでるようですね。

サイバーテロって一山いくらで請け負うところもあるようで、尻尾を掴んだからといって大本の依頼主にたどり着けないこともあります。
そのために踏み台を作るマルウェアをばらまいたり、串を刺したりと多段障壁を作っているものです。
  1. URL |
  2. 2017/01/23(月) 05:32:36 |
  3. 7SUXEN #22s72cIM
  4. [ 編集]

レベルが高すぎてよくわからないけど、応安してます!頑張って下さい!
  1. URL |
  2. 2017/01/23(月) 07:36:04 |
  3. 頑張れ! #-
  4. [ 編集]

>7SUXENさん
ソフトバンクの方面から来た方向けに徐々に鍛えられて、
必要な対策を取っていたら今の感じに落ち着いたってところです。
今回の攻撃は多分単なる狂e-434信者系の可能性が高そうです。
攻撃の時期と内容的にそう感じさせるところが多いので・・・。
そういうのを相手に商売をすることがリスクと考えない企業もどうかなと思っているのですけど、
それを良しとしているのですからその程度の企業と見るしかないですよね。

>頑張れ!さん
有り難うございます。
「暴力をもって現状変更を試みる」悪質な勢力に頑張って立ち向かいたいと思います!!
  1. URL |
  2. 2017/01/24(火) 00:20:26 |
  3. #GpEwlVdw
  4. [ 編集]

やっぱり「iPhone/iPad、飛行機を撃墜す!」の話にあんまり触れてほしくない人がいるんですかね。

どこぞの「専門家」さんみたく。
  1. URL |
  2. 2017/01/24(火) 00:49:25 |
  3. にいくら #mQop/nM.
  4. [ 編集]

>にいくらさん
ぶっちゃけそういうことなんでしょうね。
年が明けて毎年ここからがiPhoneの正念場のタイミングですし、
そのくせ出てくる話は旅客機を撃墜してくれたりと、散々ですからね。
このタイミングからそれを掘り返すうちのブログは心底ウザいのだろうと思います。

国内のAndroidの暗黒時代には私はそのキャリアやメーカーを叩いていましたが、
iPhone信者の方はアップルを叩くのではなく、それを話題にする人達を叩く所が
"Think different"なのだと思います。:-P
  1. URL |
  2. 2017/01/24(火) 01:11:43 |
  3. #GpEwlVdw
  4. [ 編集]

Googleアカウントのログインですが、かなり面倒なことになってます。
ログイン前の認証として、事前に登録したメールアドレスにOTPトークンを送ったり(メールアドレス相違でOTP入力後にハネられる。OTP自体は送られてくる)
秘密の質問に答えたり、電話番号にOTP送ったり。
この一手間は不正アクセス防御に有効でしょう。
さらにログインすると「この端末からログインしました。心当たりありますか?」と聞いてくる。
ちなみに、登録したところと同じ場所からのログインについては面倒がありません。あくまでも「いつも登録orいつも使ってる場所と違うアクセス元を検出」すると起きます。

Googleは個人情報を「保護する」立場を崩さずにいるようです。
前にも書きましたが「個人を特定せずに個人の行動パターンは徹底的に収集する」のは、実にすがすがしいほど完膚なきまでやってます。
ログインしたGoogleアカウント、Cookieなど、あらゆる方法を使って行動パターンを収集してビッグデータ化して、広告出稿側のツールとして役立てようとしているようです。
個人情報を収集しているようで気持ち悪いという人は、何も分かってないのでしょうね。
やってることはほぼAdwordsのツール化へつながっている。

そういえばアップルは赤ロム確認やアクチロックのページを公式に閉じたそうです。
これは個人取引オクを中心に中古価格へ影響する変化です。(実際に見はしませんが中古買取相場が落ちたそうで・・・ちょっとした騒ぎになってます)
その心は「新品買え。中古で売買されてもうまみが無い」ということかと。
次に打つ手がなんとなく読めます。
・月額いくら、一回いくらで制限つきにて開放する。(たぶん月額開放)
中古売買でもしっかり稼がせてもらうぜ、という手。
  1. URL |
  2. 2017/02/01(水) 05:37:33 |
  3. 7SUXEN #22s72cIM
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/7125-e8a6d0b5
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。