続報2:妙なアクセスが続いている件

自分のサイトに身に覚えのないログイン失敗のログが大量にあった・・・・!
という事件から始まり、IP制限をかけてみたり、ログインページにBacis認証をかけたり、という対策をしたりして経過を見守ってきました。

そんな中、今度は、妙なアクセスの記録があったので、続報です。

きっかけは、すでにお馴染みになってきた「WP Security Audit Log」プラグインのログ。下記のような記述があった。

001

青い文字で、モザイクがかかってるのはIPアドレスです。1行目のエラーコメント、これは、「存在しないページに続けて10回以上アクセス(同一のIPアドレスからのアクセス)してるやつがいるから、今後注意しててね」的なことが書いてある。

002

3行目、こちらは存在しないページに10回アクセスされたログがある、ということ。
1、2件は、普通にアクセスしていても。どうもよく起きる(※)のは確認しているものの、10件とかはちょっと変。
(※Safariがアイコン画像を探してアクセスするらしい。)

前回の対策時に、記事には書かなかったのだけど「リディレクション」というプラグインを入れておきました。本来301リダイレクトを管理するためのツールですが、404エラーのログを取ることができるので入れておいてみたものです。(リニューアル前のページにアクセスがあることがわかったので、リダイレクトしようかと考えたため。.htaccessに書いてもいいのだけど、お客様のところへ入れてみようかと検討したプラグインだったので、試しに使う目的だった。)

で、404エラーのログを見ると、おかしなことをしている奴が確かにいる。

003

下から3行は、ログインページを探すような動きが見られる。

004

プラグインのファイルを探すかのような動きが見られる。

(遠くで悲鳴)

とりあえず、怪しいと思われるIPアドレスをブラックリストに載せました。7件ぐらい。
多分、こんなのいたちごっこになっちゃうんだろうけど。

これで改善が見込めると良いのですが。
また動きがあったらお伝えします。

関連記事はこちらです。

うちのサイトに不正ログインしようとした人誰ですか???
続報:不正ログインが止まらない?

[ssba]

※現在スパム対策のため、コメントにhttpを含む場合のコメント入力をできなくしています。URLを書き込む際はドメイン以下から書き込みください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です