Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

何か不正アクセス来てた

wordpressのネタです。


ふとRedirectionを確認してみたら
変なURLに対して大量のアクセスが来ていました。
Redirectionは本来リダイレクト制御を行うツールですが、
404エラーもログ保存するのでこういう時便利だったりします。


プラグイン下のファイルを実行しようとしているようです。
アクセスしてくるIPアドレスは「91.201.64.85」、実行日時は4月20日。


例えばこんな感じで、
thumb.phpやtimthumb.phpにアクセスしてきました。

・/blog​/wp-content​/themes​/brightsky​/scripts​/timthumb.php
​・/blog​/wp-content​/themes​/constructor​/layouts​/thumb.php
​・/blog​/wp-content​/themes​/coffee-lite​/thumb.php


このIPアドレスで検索をしたら次のページが見つかりました。


Espresso blog >> timthumb.php・thumb.phpの不正アクセスにご注意

プラグインやディレクトリを狙ってきており、
アクセスしてきたURLパターンも同じものでした。
不正に更新されていないかファイル情報を確認しましたがとりあえず大丈夫そうです。

この攻撃があったのは1日だけで、それ以降はこの攻撃はされていません。


……が、確認したらそれとはまた別の不自然なアクセスも来ていました。


IPアドレスが「38.111.147.83」で、ユーザエージェントが
「TurnitinBot/2.1 (http://www.turnitin.com/robot/crawlerinfo.html)」
というものです。

これはどうも攻撃botではなく、巡回ロボットらしい。
しかし、アクセスしてくるURLがかなり奇妙で、
どういうロジックでここにアクセスしているのか全く分からないです。
アクセスしてくるURLは例えばこんな感じです。

・​/blog​/2012​/04​/19​/windex.px.jp​/08-03-30-07-15-27​/2008-03-30-13-35-28.html
​・/blog​/tag​/openid​/d=KFT10880110p-zfex.jp​/blog​/tag​/memcn
​・/blog​/tag​/explain​/8t​/www.php-zfex.jp​/blog​/tag​/event​/


こちらは5月6日に来た後、今は止まっているため対応はしませんが、
この先また再発するようならIPで制限するとかしないといけないですね。


しかし、結構派手に変なアクセス来てたのに半月ほど気付かなかったのはいかんな……

TrackBack URL :

Leave a comment  

name

email

website

Submit comment