韓国紙袋販売会社(wspack.kr)から謎の大量アクセス

2014年8月16日 11:30

今朝、サーバーのアクセスログを見たところ、昨日、韓国の紙袋の通販サイトをリンク元とした大量のアクセスがあった。それだけなら別に気にならないのだが、今回の場合は、その通販サイトのURLに6~10桁の乱数がついたサイトから大量のアクセスがあり、その乱数がついたサイトは数百種類に及んだ。

リファラースパムといって、通販サイトをリンク元にしてアクセスしてくる例は珍しくないのだが、今回の例では、リンク元のサイトは「Not Found」となっており存在しないのだ。つまり通販サイトへの誘導を目的としたリファラースパムとしては、意味が無いアクセスなのである。

生ログをたどってみると、今回の例でアクセスされた「kazamidori.net」内のページはランダムであり、どれとして重複するページはなかった。それどころか「kazamidori.net」に存在しないURLへのアクセスも記録され、大量のエラーログも出ていた。その割合は半分半分である。

いったい、いつから、こんなアクセスがあるのか、最近のサーバーの生ログをたどってみると8月14日の11:16に2件のみが記録されているのが最初である。それが翌日(8/15)になると416件。しかもアクセス元のIPアドレスは前日とは違っていた。また、8/15に関しては16:30~16:59の29分間に416アクセスもしてきている。

謎の大量アクセスの特徴をまとめると下記の通りである。

  1. リンク元:http://www.wspack.kr/b*********
    • アスタリスク部分はランダムな数字
    • 数字部は6~10桁
    • 1アクセスごとに数字は可変する
    • 数字が入ったページは実在しない。
  2. 1秒間に3~5件のアクセスが記録されている
  3. 実在しないページへもアクセス記録がある
  4. HTMLファイルのみを取得している。画像などは取得していない。
  5. アクセス元は韓国。日によって異なるようだ。
    • 8/14:ip-122-152-167-49.asianetcom.net
    • 8/15:211.63.134.196
  6. サーバーログで記録されているブラウザ:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)

得体が不明なのでhtaccessでアクセス拒否にしておいた。IPアドレスは可変であるがリンク元のドメインは同じなので、下記の記述で弾いている。もし同様の被害でお困りの方は参考にしていただきたい。

SetEnvIfNoCase Referer wspack.kr spammer=yes

Order Allow,Deny
Allow from All
Deny from env=spammer

上記は「wspack.kr」限定であるが「kazamidori.net」では複数のリファラを弾いている。参考までに晒しておく。

SetEnvIfNoCase Referer semalt.com spammer=yes
SetEnvIfNoCase Referer hao123.com spammer=yes
SetEnvIfNoCase Referer savetubevideo.com spammer=yes
SetEnvIfNoCase Referer kambasoft.com spammer=yes
SetEnvIfNoCase Referer wspack.kr spammer=yes
SetEnvIfNoCase Referer buttons-for-website.com spammer=yes
SetEnvIfNoCase Referer 0gg0.info spammer=yes
SetEnvIfNoCase Referer orido1.com spammer=yes

Order Allow,Deny
Allow from All
Deny from env=spammer

トラックバック(1)

トラックバックURL
https://cgi.kazamidori.net/mt/mt-tb.cgi/557

  1. 今日、喰ったもの。あったこと。 - 韓国から謎の大量アクセス2014年9月 5日 16:33
    • ここのところですね、外出する機会も減りまして、このブログに載せるようなネタもあんまりないんで更新も激減!ってことでアクセスも落ちる一方!でした。 それなの...続きを読む

コメント(6)

  1. moon : 2014年8月22日 02:15 | 返信
    • はじめまして。日付が変わりブログの解析をみたところ、自分のところはまだ数10件ですが同じアクセスが見られました。調べていたところ此方へたどり着きました。 不安を感じていたので大変参考になりました。ありがとうございます。
  2. 匿名@t-com.ne.jp : 2014年8月22日 02:30 | 返信
    • 不可解なアクセスが大量にあり、初めての事で困っていた所こちらのサイトへたどり着き、とても助かりました。ありがとうございます!
  3. K : 2014年8月27日 06:23 | 返信
    • 初めまして、私のblogにもアクセスがあり、気味が悪いので調べていた所、こちらに辿り着きました。参考にさせて頂きます。有難うございました!!
  4. 匿名@au-net.ne.jp : 2014年9月 6日 19:29 | 返信
    •  はじめまして。
       seesaaブログで、友だちと同人誌のようなものをしています。
       ふだん日に100人ほど、計200アクセスに満たない位の弱小ブログですが、数日おきに400、800といったアクセス件数になります。こちらでのご指摘と同じ所からで、人為性を持ってそこからアクセスされる理由はないはずです。
       htmlなどの知識にうとく、とりあえず放置しています。わたしもネットを探していて、こちらを拝読しました。ありがとうございます。
  5. とくめい@nttpc.ne.jp : 2014年10月21日 11:14 | 返信
    • 記事参考にさせていただきありがとうございました。
      細かい部分なのですが、htaccessの記載の初めの方、誤記かと思います。
      Deny from env=spam

      Deny from env=spammer
  6. kazamidori からとくめい@nttpc.ne.jpさんへの返信 : 2014年10月21日 23:04 | 返信
    • とくめい@nttpc.ne.jp様
      誤記を指摘していただきありがとうございます。
      お恥ずかしい限りです。早速訂正いたしました。

コメントする

検索

google+

このページについて

阪神・淡路大震災