--- title: ブルートフォースアタックの形跡があったんだけど。。。 author: kazu634 date: 2015-01-25T15:04:05Z author: - kazu634 categories: - Labs - Infra - Monitoring tags: - troubleshooting --- ふとウェブサーバーのアクセスログをグラフ化したものを確認していたら、突発的なアクセス数の増加がありました: 普段は10アクセス/分もないのに、15:00〜17:00付近でだけ突発的に、200アクセス/分ほどになっています。こういう時は、Googleなどのボットくんがせっせとアクセスしていることが多いので、今回もおそらくそうなのだろうと、レスポンスタイムを確認しました: ボットくんたちがアクセスするときは、だいたいこんなグラフになります。たいていは500ms以内でレスポンスを返している感じ。ここまでは問題なしでした。念のためサーバーのリソースも確認してみました。Load Averageはこんな感じ。まぁ、アクセスが多くなれば、それなりに負荷もかかるからここは特に問題なさそう: 次にCPU使用率を見てみました。ここでおかしな点が…: うちのWordpressサーバーくんは、動的にコンテンツ生成をしていません。基本はキャッシュに乗せているはずなので、Userの割合がこんなに高くなるわけがない。キャッシュ上のファイルを配信するだけだから、Systemやiowait、もしくはsoftirqなんかが高くなるのならわかるんだけど。 と思って、RAMディスクとしてマウントしているキャッシュ領域の使用率を見てみました: ボットくんのアクセスだと、ここの使用率が50%を超えてくるんだけど、今回はほぼヨコバイです。何かがおかしい。ちょっとおかしいなと思って、ウェブサーバーのログを確認してみました:
% grep "25/Jan/2015:1[567]" front_proxy.access.log | cut -f 2,5 | head host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.php host:37.187.29.175 path:/wp-login.phpあれ、なんかログインページへのアクセスが多い気がする。。。きちんと見てみます:
% grep "25/Jan/2015:1[567]" front_proxy.access.log | cut -f 2,5 | sort | uniq -c | sort | tail 2 host:91.200.12.29 path:/wp-comments-post.php 3 host:157.55.39.46 path:/2010/09/10/hello-world/ 3 host:199.59.148.209 path:/robots.txt 3 host:91.200.12.56 path:/2013/12/22/fibre_flare_light_lpt04602/ 3 host:91.200.12.56 path:/wp-comments-post.php 4 host:195.211.154.44 path:/2013/05/06/chef_package_installation_with_preseedings/ 4 host:211.138.144.18 path:/ 180 host:126.114.163.124 path:/ 180 host:133.242.151.82 path:/ 15276 host:37.187.29.175 path:/wp-login.phpやっぱりです。これはブルートフォースアタックというやつですね。ログインページに攻撃を受けていたみたいです。ログイン履歴を確認する限り、自分以外はログインに成功していないようなので、とりあえず放置しておこうと思います。