今朝、サーバーのアクセスログを見たところ、昨日、韓国の紙袋の通販サイトをリンク元とした大量のアクセスがあった。それだけなら別に気にならないのだが、今回の場合は、その通販サイトのURLに6~10桁の乱数がついたサイトから大量のアクセスがあり、その乱数がついたサイトは数百種類に及んだ。
リファラースパムといって、通販サイトをリンク元にしてアクセスしてくる例は珍しくないのだが、今回の例では、リンク元のサイトは「Not Found」となっており存在しないのだ。つまり通販サイトへの誘導を目的としたリファラースパムとしては、意味が無いアクセスなのである。
生ログをたどってみると、今回の例でアクセスされた「kazamidori.net」内のページはランダムであり、どれとして重複するページはなかった。それどころか「kazamidori.net」に存在しないURLへのアクセスも記録され、大量のエラーログも出ていた。その割合は半分半分である。
いったい、いつから、こんなアクセスがあるのか、最近のサーバーの生ログをたどってみると8月14日の11:16に2件のみが記録されているのが最初である。それが翌日(8/15)になると416件。しかもアクセス元のIPアドレスは前日とは違っていた。また、8/15に関しては16:30~16:59の29分間に416アクセスもしてきている。
謎の大量アクセスの特徴をまとめると下記の通りである。
- リンク元:http://www.wspack.kr/b*********
- アスタリスク部分はランダムな数字
- 数字部は6~10桁
- 1アクセスごとに数字は可変する
- 数字が入ったページは実在しない。
- 1秒間に3~5件のアクセスが記録されている
- 実在しないページへもアクセス記録がある
- HTMLファイルのみを取得している。画像などは取得していない。
- アクセス元は韓国。日によって異なるようだ。
- 8/14:ip-122-152-167-49.asianetcom.net
- 8/15:211.63.134.196
- サーバーログで記録されているブラウザ:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
得体が不明なのでhtaccessでアクセス拒否にしておいた。IPアドレスは可変であるがリンク元のドメインは同じなので、下記の記述で弾いている。もし同様の被害でお困りの方は参考にしていただきたい。
SetEnvIfNoCase Referer wspack.kr spammer=yes
Order Allow,Deny
Allow from All
Deny from env=spammer
上記は「wspack.kr」限定であるが「kazamidori.net」では複数のリファラを弾いている。参考までに晒しておく。
SetEnvIfNoCase Referer semalt.com spammer=yes
SetEnvIfNoCase Referer hao123.com spammer=yes
SetEnvIfNoCase Referer savetubevideo.com spammer=yes
SetEnvIfNoCase Referer kambasoft.com spammer=yes
SetEnvIfNoCase Referer wspack.kr spammer=yes
SetEnvIfNoCase Referer buttons-for-website.com spammer=yes
SetEnvIfNoCase Referer 0gg0.info spammer=yes
SetEnvIfNoCase Referer orido1.com spammer=yes
Order Allow,Deny
Allow from All
Deny from env=spammer
moon
はじめまして。日付が変わりブログの解析をみたところ、自分のところはまだ数10件ですが同じアクセスが見られました。調べていたところ此方へたどり着きました。
不安を感じていたので大変参考になりました。ありがとうございます。
匿名@t-com.ne.jp
不可解なアクセスが大量にあり、初めての事で困っていた所こちらのサイトへたどり着き、とても助かりました。ありがとうございます!
K
初めまして、私のblogにもアクセスがあり、気味が悪いので調べていた所、こちらに辿り着きました。参考にさせて頂きます。有難うございました!!
匿名@au-net.ne.jp
はじめまして。
seesaaブログで、友だちと同人誌のようなものをしています。
ふだん日に100人ほど、計200アクセスに満たない位の弱小ブログですが、数日おきに400、800といったアクセス件数になります。こちらでのご指摘と同じ所からで、人為性を持ってそこからアクセスされる理由はないはずです。
htmlなどの知識にうとく、とりあえず放置しています。わたしもネットを探していて、こちらを拝読しました。ありがとうございます。
とくめい@nttpc.ne.jp
記事参考にさせていただきありがとうございました。
細かい部分なのですが、htaccessの記載の初めの方、誤記かと思います。
Deny from env=spam
↓
Deny from env=spammer
kazamidoriからとくめい@nttpc.ne.jpへの返信
とくめい@nttpc.ne.jp様
誤記を指摘していただきありがとうございます。
お恥ずかしい限りです。早速訂正いたしました。