風見鶏の目

今朝、サーバーのアクセスログを見たところ、昨日、韓国の紙袋の通販サイトをリンク元とした大量のアクセスがあった。それだけなら別に気にならないのだが、今回の場合は、その通販サイトのURLに6～10桁の乱数がついたサイトから大量のアクセスがあり、その乱数がついたサイトは数百種類に及んだ。

リファラースパムといって、通販サイトをリンク元にしてアクセスしてくる例は珍しくないのだが、今回の例では、リンク元のサイトは「Not Found」となっており存在しないのだ。つまり通販サイトへの誘導を目的としたリファラースパムとしては、意味が無いアクセスなのである。

生ログをたどってみると、今回の例でアクセスされた「kazamidori.net」内のページはランダムであり、どれとして重複するページはなかった。それどころか「kazamidori.net」に存在しないURLへのアクセスも記録され、大量のエラーログも出ていた。その割合は半分半分である。

いったい、いつから、こんなアクセスがあるのか、最近のサーバーの生ログをたどってみると8月14日の11:16に2件のみが記録されているのが最初である。それが翌日(8/15)になると416件。しかもアクセス元のIPアドレスは前日とは違っていた。また、8/15に関しては16:30～16:59の29分間に416アクセスもしてきている。

謎の大量アクセスの特徴をまとめると下記の通りである。

1. リンク元：http://www.wspack.kr/b*********
• アスタリスク部分はランダムな数字
• 数字部は6～10桁
• 1アクセスごとに数字は可変する
• 数字が入ったページは実在しない。
2. 1秒間に3～5件のアクセスが記録されている
3. 実在しないページへもアクセス記録がある
4. HTMLファイルのみを取得している。画像などは取得していない。
5. アクセス元は韓国。日によって異なるようだ。
• 8/14:ip-122-152-167-49.asianetcom.net
• 8/15:211.63.134.196
6. サーバーログで記録されているブラウザ：Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)

得体が不明なのでhtaccessでアクセス拒否にしておいた。IPアドレスは可変であるがリンク元のドメインは同じなので、下記の記述で弾いている。もし同様の被害でお困りの方は参考にしていただきたい。

SetEnvIfNoCase Referer wspack.kr spammer=yes

Order Allow,Deny
Allow from All
Deny from env=spammer

上記は「wspack.kr」限定であるが「kazamidori.net」では複数のリファラを弾いている。参考までに晒しておく。

SetEnvIfNoCase Referer semalt.com spammer=yes
SetEnvIfNoCase Referer hao123.com spammer=yes
SetEnvIfNoCase Referer savetubevideo.com spammer=yes
SetEnvIfNoCase Referer kambasoft.com spammer=yes
SetEnvIfNoCase Referer wspack.kr spammer=yes
SetEnvIfNoCase Referer buttons-for-website.com spammer=yes
SetEnvIfNoCase Referer 0gg0.info spammer=yes
SetEnvIfNoCase Referer orido1.com spammer=yes

Order Allow,Deny
Allow from All
Deny from env=spammer