ブルートフォースアタック?同一IPから何度もアクセス
アクセス解析を眺めていたら、特定のアクセスが増えているのでびっくりしました。
同一IPアドレス「38.99.82.○○○」からのアクセスがたくさんあるのです。
そのIPアドレスからのアクセスが増え始めたのは、前日の夕方からでした。
様子をうかがっていたのでしょうか?
最初のほうは、チラホラといったアクセスでした。
そして、夜の12時をまわった辺りから、本格的にアクセスし出したようです。
今話題になっている「ブルートフォースアタック(総当り攻撃)」だと「1分間に何百回」というパターンらしいです。
私のところに来たのは数十件程度。
それでも、深夜から夕方までの間、1時間に1~5件程度のアクセスが繰り返されたのでちょっと気持ちが悪かったです。
そのIPアドレスを調べてみると「カリフォルニアのサンノゼ」の発信のようです。
日本のサイトではこのIPの情報が出てこなかったので、
「www.abuseipdb.com」
で調べてみると、5件のレポートが登録されていました。
その内、2件はワードプレスのログインページにアクセスがきたと報告されていました。
2件はノーコメント、
残りの1件は「偽りのエージェントを使用するしつこいステルスクローラー。
このIPはブロックした方がいいでしょう」というものでした。
私の解析では、17時でアクセスがぱったりと途絶えていたので、不正ログインを数時間試みて諦めたということでしょうか?
これがブルートフォースアタック(総当り攻撃)のパターンなのかも不明ですが、その一週間後には、私の別サイトに
38.99.82.△△△
からアクセスがありました。
こちらは1時間に30件以上アクセスしていました。
その翌日には、また「38.99.82.□□□」から1時間に20件ほどのアクセスがありました。
ちなみに、
「38.99.82.△△△」と「38.99.82.□□□」
は「連番」です。
このIPをブロックすればいいのでしょうが、仕掛けてくる側はIPを変えて再チャレンジしてきます。
海外からのアクセスを完全にブロックすればこういった攻撃に合う心配は少なくなるでしょうね。
でも、海外にいる日本人からのアクセスもブロックされてしまいますよね。
最近、海外に住む日本人が多いですし、私も海外在住なので、みなさん、ブロックしないで欲しいです~。
それには、不正ログインさせないように時間を稼ぐ方法をとるしかないのでしょうか。
ユーザー名を変更したり、ワードプレスのプラグインを活用したり、サイトの更新をまめにしたり・・・。