株式会社進角
代表 藤本信のブログです
どうぞよろしくお願いします
Webサイトを運用してると図らずもPVの多いサイトから、アクセスが大量に流入してしまって運用に支障が生じることがありますよね?
そんな場合はApacheの.htaccessファイルに以下のような記述をすれば特定のリンク元からのアクセスをブロックすることができます。
<files ~ "\.(php|html)>
SetEnvIf Referer "^http://リンク元URL" ref_block
order allow,deny
allow from all
deny from env=ref_block
</files>
○○○○年○月○月
○○さま
本日XX:XX頃、○○○サーバに設定していた監視エージェントによって メール不正中継の兆候を検知しました。 サーバに緊急アクセスし、不正利用の様子をログなどからリアルタイムに調査したところ、一連のメール不正中継につながる原因を確認しました。
原因は"***user"というユーザアカウントを不正に利用し、メール送信の認証を通過させたことと思われます。メール認証が通過されるとスパム配信者は好きなだけメールの発送が可能です。
このサーバのユーザアカウントはOS用とメール認証用に分かれております。通常はメール認証用のセキュアなアカウントが使用されますが、利用者がOutlook等の古いバージョンのメーラを使用した場合に限り、OS用のユーザアカウントが使用される仕様になっています。ハッカーはこの仕組みを悪用してメールクライアントとして古いOutlookを偽装したものと思われます。
さらに、この"***user"というアカウント名がハッカーにとって推測しやすい名前だったこととパスワードに推測されやすいものが設定されていたと思われます。
これらの複数要因が重なって不正利用につながったと思われます。
緊急対処として***userアカウントを削除し、もう一つ****userという アカウントについても念のため削除させていただきました。 Webサービスに直接影響は及ばないかと思いますが、問題がありましたら ご連絡ください。
こちらのサイトに国別に発行されているIPアドレス(ipv4)が公開されています。
http://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest
http://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
http://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest
http://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
http://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest
(それぞれ大量のリストが表示されます)
例えば日本国に発行されているIPアドレスを知りたい場合、2ケタの国識別IDの"JP"で検索すると以下のような行が見つかります。
"apnic|JP|ipv4|121.58.176.0|2048|"
ここの4列目の121.58.176.0がネットワークアドレスで5列目の2048がネットマスク値に相当します。ちなみにこの定義では121.58.176.0~121.58.183.255の範囲となります。
このサイトに公開されている、各国割り当てブロックをすべてデータベース化し、Webサービス等にアクセスしてきたリモートIPと比較することで IPアドレスによる制限が可能です(いちおう公的サイトの様なので定期的にデータを取得してパース&DB化を行っても問題は無いと思います)
Linux系OSではiptablesというファイアウォールが利用できる場合がありますのでIPブロックの一例を示します。拒否設定例(58.221.55.0~58.221.55.255)
# /sbin/iptables -I INPUT -s 58.221.55.0/24 -j DROP
(設定を間違えるとサーバにアクセスできなくなる可能性があります)
設定確認方法
# /sbin/iptables -L
ちなみにブラウザの使用言語属性によって国を判別する方法もありますが、ユーザが任意に変更できるのでかなり緩い方式となります。
