WordPressでDoS攻撃を受けたときはプロバイダに通報しよう

(タイトルを変更しました。)

WordPressにDoS(Denial of Service)攻撃を受けたときのプロバイダへの通報の流れをまとめておきます。

xmlrpc.phpなどへの連続アクセスはDoS攻撃の証拠として充分説得力があります。

WordPressを使っているとかなりの頻度で攻撃を受けます。この手の攻撃はIPアドレスでブロックしますが、それだけでなく攻撃元のIPアドレスを管理しているプロバイダへ通報するのも大事です。

アタックしてきたIPアドレスを確認する

サーバーのアクセスログからアタックしてきたIPアドレスを特定します。

アクセスログから見つけるのが大変ですから、普段から不正ログインを監視するpluginを使うのが良いでしょう。

例えば All In One WP Security & Firewall などがあります。

これは不正ログインの試行があるとログインをロックされて、そのアラートがメールで飛んできます。 こうして不正アクセスをしてきたIPアドレスがすぐ分かります。

その後、サーバーのアクセスログでgrepなどをかけて当該のIPアドレスを抽出しておきます。

grepでIPアドレスを抽出するにはfgrepを使うのが便利です:

fgrep "xxx.xxx.xxx.xxx" access_log_201xxxxx

など。

そうすれば、下のようなログが得られます。必要とあれば、このファイルを証拠としてプロバイダに送付します。

gordiustears.net xxx.xxx.xxx.xxx - - [06/Jan/2019:00:01:18 +0900] "POST /xmlrpc.php HTTP/1.1" 200 508 "-" "Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
gordiustears.net xxx.xxx.xxx.xxx - - [06/Jan/2019:00:04:27 +0900] "POST /xmlrpc.php HTTP/1.1" 200 508 "-" "Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
gordiustears.net xxx.xxx.xxx.xxx - - [06/Jan/2019:00:07:04 +0900] "POST /xmlrpc.php HTTP/1.1" 200 508 "-" "Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
gordiustears.net xxx.xxx.xxx.xxx - - [06/Jan/2019:00:08:32 +0900] "POST /xmlrpc.php HTTP/1.1" 200 508 "-" "Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"

アタック回数をカウントするにはwcコマンドを使うと便利です:

wc -l xxx.xxx.xxx.xxx.log

IPアドレスの管理者(プロバイダ)を確認する

whoisなどで不正ログインをアタックしてきたIPアドレスのネットワーク管理者(プロバイダ)を確認します。

IPアドレスの管理者(プロバイダ)に連絡する

上で確認した管理者(プロバイダ)に不正ログインの攻撃があったことを連絡します。

アクセスしてきたIPアドレス、回数、時刻、アクセスされたURLなどが分かる情報を連絡します。

KDDIやソフトバンクなど大手のプロバイダはたいてい迷惑行為などの報告フォームがあります。「プロバイダ名 迷惑行為」などで検索すると報告フォームが見つかります。報告フォームがない場合でも、問い合わせフォームなどで報告すれば良いです。

まとめ

普段からアクセスログを残しておくのが大事です。

このブログは日本語ですから、基本的に海外からの不正アクセスはIPアドレスでブロックしてしまいます。

参考

さくらインターネットではサービス利用者による不正アクセスなどの窓口を設けています。

他のレンタルサーバーの場合も、不正アクセスと判断できる証拠を集めて報告すると良いと思います。

迷惑行為・不正なサイトなどの報告窓口