お仕事であるWebサーバー管理を任されておりまして、やや困ったことを経験したので備忘のためご報告。
実は、ちょうど先週あたりから、このWebサーバーがダウンするということが頻発しておりましてなかなかに胃が痛い思いをしておりました。
というのも、このWebサーバーはWindowsのいわゆるIISってやつで動いておりまして、httpdのプロセスがクラッシュする、SSL通信ができなくなる、RPCが全く利用できなくなる、などそりゃヒドイことになっておりまして…(ーー;)
インストールされていたサードパーティーのISAPIフィルタを疑ってみたり、Microsoftのセキュリティーパッチを疑ってみたりと、テストツールから20回/秒のラッシュテストをしてみたり、いろいろとオタオタとやっておったのですが先週末に原因がやっとこさ判明。
調べてみると、ある仮想サイトのログに、1秒間に20アクセス前後のリクエストを送りつけてくる輩が。
USER_AGENTを見てみると、
DoCoMo/2.0 P90liS(c100;TB;W20H10)
ん?携帯電話から1秒間に20回もページ遷移をすることはできないでしょー。
それよりこのユーザーエージェント、P901iS(キュウマルイチ アイエス)ではなくって、P901iS(キュウマルエル アイエス)になってますやんか!
ということで、そのIPアドレスをwhoisしてみると…
China United Telecommunications Corporation(China Unicom)。
お隣の中国からでしたか…
とりあえずこんな奴はまずはアクセス拒否と思って、そのIPアドレス(220.194.55.47)他、同一セグメントのIPアドレスをごっそりIISのアクセス拒否リストに設定。
F/Wでの設定は次の日にすることに。
で、やや安心しながら様子を見ていた19時頃。
またしてもChina Unicomからの攻撃が開始される。
「お、順調にアクセス拒否(403)のログが出力されてるぞ」と安心していた途端に、再びIISがクラッシュ。
え?IISの昨日で拒否するだけじゃアカンの!?
ということで、慌ててF/Wにフィルタを設定。なんとか解決に至ったわけです。
しかし、この220.194.55.47からやってくるロボット、いくらIISとはいえ拒否しているサーバーを落っことすくらいのいったいどんなエゲツないリクエストを投げてるんでしょ。
ちゃんとログを見てれば、すぐに分かったのですが仮想サイトが大量にあったものと肝心のログを見落とした私も悪かったんですが…(ーー;)
それよりも、このChina Unicomからのお行儀の悪いクローラーは有名なようで。
他にも被害あわれた方は、多数おられるようです。(今回のようにIISを使ってはないでしょうけど)
・ブログにP90liSからのアクセス(暇人STRのブログ)
・China Unicomからの大量アクセスを拒否(kawama.jp)
皆さん、チャイナ・アタックには要注意でございます。
その他、関連記事
»»トラックバックURL⇒ http://blog.itoy.jp/security/china-unicom.html/trackback
»»RSSでこの記事のレスポンスをチェック
ホーム
先頭に移動