このブログにもついに攻撃がー。以下の様なアクセスログが大量に発生しています。Linux側のiptablesで対象のIPをブロックしてもいいのですが、AWSのVPCのセキュリティ設定でブロックすることにします。大元で遮断します。
■以下の様なアクセスログが
以下の様なアクセスログがずーっと流れています。ほほう。。
162.219.24.52 - - [04/Sep/2014:20:27:15 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:15 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:20 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:26 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:26 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:27 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:37 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:38 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-" 162.219.24.52 - - [04/Sep/2014:20:27:38 +0900] "POST /wp-login.php HTTP/1.0" 200 3977 "-" "-" "-"
■対応方法
AWSにログインして、VPC→NetworkACLsと移動して、すでにあるルールに追加をします。ルールがない場合はルールから作ってください。
Inbound Rulesに、以下の設定を追加しました。
HTTP 80ポートを162.219.24.52のみ拒否
Rule#をAllowよりも小さい数字で追加してください。
また、IPアドレスをCIDRで指定する必要があります。対象のIPのみを禁止する場合、以下のように指定してください。
162.219.24.52/32
Saveをすれば、アクセスが来なくなります。
