• 締切済み

webサーバが攻撃を受けている時の対処方法は?

レンタルサーバを利用しています。専用サーバ利用です。CentOS release 4.4です。 複数のドメインをここで管理していて、攻撃を受けているのはその1つのドメインで、メインで利用している物です。 一昨日夜から攻撃が始まりました。 最初は攻撃と気が付かずただのサーバ不調によるダウンと思っていました。 自分でコントロールパネルより再起動を試みたのですが、症状が改善しなかったので、サーバ管理会社に確認してもらった所、攻撃を受けているとのことでした。 「海外からの不正なアクセスが行われており、Apacheの同時接続数が超過したことが原因で、ウェブサイトへのアクセスがつながりにくい状態となりました。」 「サーバーやサービスに対するサービス妨害攻撃サービスなどに対して許容量を超える要求を送出し、サービスの処理可能量を超えさせ、正規の要求を処理させないものがあります。」 と言うものだそうです。 (カッコ内については管理会社からのコメント。色々やりとりしているので、書き込まれた順番はまちまちです) アクセスログを見ると、 xxx.xxx.xxx.xxx - - [20/Sep/2013:02:03:40 +0900] "POST / HTTP/1.1" 200 11836 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" (IPアドレス以外はすべて同じ) が、1秒に4~6回くらいの数でアクセスしています。 「再起動を行わせて頂きましたが、すぐに不正なアクセスが行われ、MaxClients(同時接続数)を超過してしまうことで、再びウェブサーバーが不安定な状態となってしまいます。」 また、 「MaxClientsを増やすことは通常はMaxClientsのエラーの解決策でございますが、明らかに不正な接続へのリクエストとして受け付ける数を増やすこととなり、リクエストに割り当てられたメモリ使用も多くなるため、メモリ不足となってしまう可能性が考えられます。」 さらに、 「根本的な解決策がないため、○○○.comドメインの廃止」 「高スペックのサーバーへの移設など、ネットワーク機器でのブロックが可能なサービスへの移設なども対策として挙げられます。」 と回答されました。 現状では、 chmod 000 /var/www/vhosts/○○○.com の実行。(これは、不正アクセスを受け、情報を書き換えられるのを防ぐためと考えてOKでしょうか?) DNSゾーンの削除(○○○.com. 600 A xxx.xxx.xxx.xxx等) を行い、他のドメインは正常動作、メインサイトのみ閉鎖(403)となっています。 今回の件を自分で解決方法を探していると日付が近い以下の情報を確認しました。 9月18日に関連したサイバー攻撃に関しての注意喚起 http://www.lac.co.jp/security/alert/2013/09/12_alert_01.html これではないかと思い、日付が変わった本日1:00頃再度DNSレコードを戻し、公開してみたのですが、数分も経たず攻撃がスタートしてしまいました。 前置きが長くなりましたが… この状態で何か解決策はありませんか? 管理会社が指定した解決方法は、 ・○○○.comドメインの廃止(さすがに無理です) ・高スペックのサーバーへの移設(予算的に厳しいです) と、問題があり、ちょっと難しいです。 .htaccessで海外のアクセスを遮断と考えたのですが、そもそも".htaccessにアクセスする=同時接続数を超える事になる"ので意味は無いですよね… 他に何かいい方法は無いでしょうか? サーバ管理に関しては初心者レベルです。 そのため、必要な情報が記載されていないかもしれませんので、その時は指摘をお願いします。

みんなの回答

回答No.3

ipについてはサイトによりアクセス制限の対象が違うので当然ちがってくると思いますので 一概には回答はできないと思います また403などの編集の場合 サーバーにより違いやはり一概にはご回答はできないのですが 私の場合は403などについては <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE></TITLE> <meta http-equiv="Refresh" content="0; URL=サイトトップ/"></HEAD> <BODY><HR></BODY></HTML> と記述し上書きし対処しました

回答No.2

この場合403エラーを返している限り続くと思います そこで".htaccessのアクセス制限にプラスし 可能であれば403/404/500などの表示編集をお勧めします 実際に同様な内容で悩み http://www.m-genfactory.com/datatool/accs.htm の記載の方法をしてみました それなりの効果はありました

master-3rd
質問者

補足

返答ありがとうございます。 http://www.cgis.biz/tools/access/ こちらのサイトでhtaccessを編集しました。 htaccessの設定が効いているのか、今の所攻撃らしきアクセスログは残っていますが、サイト表示が重くなったりダウンしたりする事は無くなってます。 ただ、この方法だと海外の日本人が接続できないので、403ページの削除を試みたのですが/var/www/errorの「HTTP_FORBIDDEN.html.var」 を削除しても403ページが表示されてしまいます。 自分でカスタムした覚えは無いのですが、どこか別の場所なんでしょうか…

回答No.1

1秒間に4~6回という頻度で接続数が超えるというのは、むしろアプリケーションの質が悪いのでは?と邪推してしまいます・・・。 0.1秒でレスポンスを返すものであれば、なんでもないはずですよね・・・。 アクセスされているページがログインページだったり、何らかのフォームが設置されているページなのでしょうかね?

関連するQ&A