0.n.n.nのIPからのapacheへの大量アクセスについて
【環境】
・某社VPSをレンタルしてウェブサーバー(ubuntu14.04+apache2.4)を構築しています。WordPressを利用しています。
・不正アクセス検知に fail2ban を使っています
・wp-admin,wp-login 等にアクセスを1回でもしてきたIPがban対象です。なお,管理者はVPN経由でWP管理画面にアクセスできます。
【現象】
・約40分の間に,0.n.n.n の様々なIPから多数のアクセスを検知してbanしました。(末尾にログの一部を転記しました。)
・下記は,fail2ban からのメールメッセージ例(IPは毎回変化)です
The IP 0.0.30.9 has just been banned by Fail2Ban after 1 attempts against apache-vhosts.
【確認したこと】
Apacheのログを確認したものの,ban対象となった 0.n.n.n からのアクセスは記録されていません。
sshへのアタック形跡はありません。ウェブサーバーに対するアタックのみ確認できています。
【質問】
(1) ウェブサーバーへアクセスしてきた0.n.n.n の実体は何なのでしょうか?
同じVPS会社の別のVPSか,ネットワーク機器なのでしょうか?
(2) 0.n.n.n のアクセスログがapacheのログに無いということはログが改ざんされているのでしょうか。
fail2banは,アクセスログを見て判断しているのに,大元のログにアクセスの形跡がありません。
ログ改ざんにはroot権限必要だと思いますので,root権限が取られているのでしょうか?
(3) ログ改ざんの場合,可能な措置があるでしょうか。
(4) その他アドバイスを頂きたいです。
よろしくご教示いただければ幸いです。
【その他】
・fail2ban のログ例
2017-05-13 20:53:55,447 fail2ban.actions: INFO [apache-vhosts] 0.0.2.179 already banned 2017-05-13 20:53:56,449 fail2ban.actions: INFO [apache-vhosts] 0.0.31.141 already banned 2017-05-13 20:53:57,450 fail2ban.actions: INFO [apache-vhosts] 0.0.6.93 already banned 2017-05-13 20:53:58,452 fail2ban.actions: INFO [apache-vhosts] 0.0.11.168 already banned 2017-05-13 20:53:59,453 fail2ban.actions: INFO [apache-vhosts] 0.0.113.255 already banned 2017-05-13 20:54:00,455 fail2ban.actions: INFO [apache-vhosts] 0.0.6.157 already banned 2017-05-13 20:54:27,491 fail2ban.actions: WARNING [apache-vhosts] Ban 0.0.3.134 2017-05-13 20:54:36,528 fail2ban.actions: WARNING [apache-vhosts] Ban 0.0.11.225 2017-05-13 21:35:26,803 fail2ban.actions: WARNING [apache-vhosts] Ban 0.0.17.33 2017-05-13 21:35:38,840 fail2ban.actions: INFO [apache-vhosts] 0.0.14.112 already banned 2017-05-13 21:35:39,842 fail2ban.actions: INFO [apache-vhosts] 0.0.24.200 already banned 2017-05-13 21:35:40,844 fail2ban.actions: INFO [apache-vhosts] 0.0.32.17 already banned
またfail2ban のルールは下記のようなものです。
人間がかかわらないとできないアクセスですので,某VPS業者の内部がハッキングされているのではないかと,心配しています。
failregex = (?i)^.+:.* <HOST> .*admin.*$ ^.+:.* <HOST> .*htaccess.*$ ^.+:.* <HOST> .*wp-config.*$ ^.+:.* <HOST> .*wp-login.*$ ^.+:.* <HOST> .*xmlrpc.*$ ^.+:.* <HOST> .*w00tw00t.*$ (?i)^.+:.* <HOST> .*select%%20.*$ (?i)^.+:.* <HOST> .*select\+.*$ (?i)^.+:.* <HOST> .*delete%%20.*$ (?i)^.+:.* <HOST> .*delete\+.*$ (?i)^.+:.* <HOST> .*cgi.bin.*$
回答1件
あなたの回答
tips
プレビュー