blog/content/posts/2015/2015-01-25-brute-force-atta...

5.9 KiB

title date author categories tags
ブルートフォースアタックの形跡があったんだけど。。。 2015-01-25T15:04:05Z kazu634
Labs
Infra
Monitoring
troubleshooting

Impossible is not AP Tune's

ふとウェブサーバーのアクセスログをグラフ化したものを確認していたら、突発的なアクセス数の増加がありました:

access

普段は10アクセス/分もないのに、15:00〜17:00付近でだけ突発的に、200アクセス/分ほどになっています。こういう時は、Googleなどのボットくんがせっせとアクセスしていることが多いので、今回もおそらくそうなのだろうと、レスポンスタイムを確認しました:

response

ボットくんたちがアクセスするときは、だいたいこんなグラフになります。たいていは500ms以内でレスポンスを返している感じ。ここまでは問題なしでした。念のためサーバーのリソースも確認してみました。Load Averageはこんな感じ。まぁ、アクセスが多くなれば、それなりに負荷もかかるからここは特に問題なさそう:

load_average

次にCPU使用率を見てみました。ここでおかしな点が…:

cpu

うちのWordpressサーバーくんは、動的にコンテンツ生成をしていません。基本はキャッシュに乗せているはずなので、Userの割合がこんなに高くなるわけがない。キャッシュ上のファイルを配信するだけだから、Systemやiowait、もしくはsoftirqなんかが高くなるのならわかるんだけど。

と思って、RAMディスクとしてマウントしているキャッシュ領域の使用率を見てみました:

disk_usage

ボットくんのアクセスだと、ここの使用率が50%を超えてくるんだけど、今回はほぼヨコバイです。何かがおかしい。ちょっとおかしいなと思って、ウェブサーバーのログを確認してみました:

% grep "25/Jan/2015:1[567]" front_proxy.access.log | cut -f 2,5 | head
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php
host:37.187.29.175      path:/wp-login.php

あれ、なんかログインページへのアクセスが多い気がする。。。きちんと見てみます:

% grep "25/Jan/2015:1[567]" front_proxy.access.log | cut -f 2,5 | sort | uniq -c | sort | tail
      2 host:91.200.12.29       path:/wp-comments-post.php
      3 host:157.55.39.46       path:/2010/09/10/hello-world/
      3 host:199.59.148.209     path:/robots.txt
      3 host:91.200.12.56       path:/2013/12/22/fibre_flare_light_lpt04602/
      3 host:91.200.12.56       path:/wp-comments-post.php
      4 host:195.211.154.44     path:/2013/05/06/chef_package_installation_with_preseedings/
      4 host:211.138.144.18     path:/
    180 host:126.114.163.124    path:/
    180 host:133.242.151.82     path:/
  15276 host:37.187.29.175      path:/wp-login.php

やっぱりです。これはブルートフォースアタックというやつですね。ログインページに攻撃を受けていたみたいです。ログイン履歴を確認する限り、自分以外はログインに成功していないようなので、とりあえず放置しておこうと思います。