- 締切済み
webサーバが攻撃を受けている時の対処方法は?
レンタルサーバを利用しています。専用サーバ利用です。CentOS release 4.4です。 複数のドメインをここで管理していて、攻撃を受けているのはその1つのドメインで、メインで利用している物です。 一昨日夜から攻撃が始まりました。 最初は攻撃と気が付かずただのサーバ不調によるダウンと思っていました。 自分でコントロールパネルより再起動を試みたのですが、症状が改善しなかったので、サーバ管理会社に確認してもらった所、攻撃を受けているとのことでした。 「海外からの不正なアクセスが行われており、Apacheの同時接続数が超過したことが原因で、ウェブサイトへのアクセスがつながりにくい状態となりました。」 「サーバーやサービスに対するサービス妨害攻撃サービスなどに対して許容量を超える要求を送出し、サービスの処理可能量を超えさせ、正規の要求を処理させないものがあります。」 と言うものだそうです。 (カッコ内については管理会社からのコメント。色々やりとりしているので、書き込まれた順番はまちまちです) アクセスログを見ると、 xxx.xxx.xxx.xxx - - [20/Sep/2013:02:03:40 +0900] "POST / HTTP/1.1" 200 11836 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" (IPアドレス以外はすべて同じ) が、1秒に4~6回くらいの数でアクセスしています。 「再起動を行わせて頂きましたが、すぐに不正なアクセスが行われ、MaxClients(同時接続数)を超過してしまうことで、再びウェブサーバーが不安定な状態となってしまいます。」 また、 「MaxClientsを増やすことは通常はMaxClientsのエラーの解決策でございますが、明らかに不正な接続へのリクエストとして受け付ける数を増やすこととなり、リクエストに割り当てられたメモリ使用も多くなるため、メモリ不足となってしまう可能性が考えられます。」 さらに、 「根本的な解決策がないため、○○○.comドメインの廃止」 「高スペックのサーバーへの移設など、ネットワーク機器でのブロックが可能なサービスへの移設なども対策として挙げられます。」 と回答されました。 現状では、 chmod 000 /var/www/vhosts/○○○.com の実行。(これは、不正アクセスを受け、情報を書き換えられるのを防ぐためと考えてOKでしょうか?) DNSゾーンの削除(○○○.com. 600 A xxx.xxx.xxx.xxx等) を行い、他のドメインは正常動作、メインサイトのみ閉鎖(403)となっています。 今回の件を自分で解決方法を探していると日付が近い以下の情報を確認しました。 9月18日に関連したサイバー攻撃に関しての注意喚起 http://www.lac.co.jp/security/alert/2013/09/12_alert_01.html これではないかと思い、日付が変わった本日1:00頃再度DNSレコードを戻し、公開してみたのですが、数分も経たず攻撃がスタートしてしまいました。 前置きが長くなりましたが… この状態で何か解決策はありませんか? 管理会社が指定した解決方法は、 ・○○○.comドメインの廃止(さすがに無理です) ・高スペックのサーバーへの移設(予算的に厳しいです) と、問題があり、ちょっと難しいです。 .htaccessで海外のアクセスを遮断と考えたのですが、そもそも".htaccessにアクセスする=同時接続数を超える事になる"ので意味は無いですよね… 他に何かいい方法は無いでしょうか? サーバ管理に関しては初心者レベルです。 そのため、必要な情報が記載されていないかもしれませんので、その時は指摘をお願いします。
- master-3rd
- お礼率39% (524/1325)
- ネットワーク
- 回答数3
- ありがとう数14
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- factoryD51
- ベストアンサー率54% (6/11)
ipについてはサイトによりアクセス制限の対象が違うので当然ちがってくると思いますので 一概には回答はできないと思います また403などの編集の場合 サーバーにより違いやはり一概にはご回答はできないのですが 私の場合は403などについては <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE></TITLE> <meta http-equiv="Refresh" content="0; URL=サイトトップ/"></HEAD> <BODY><HR></BODY></HTML> と記述し上書きし対処しました
- factoryD51
- ベストアンサー率54% (6/11)
この場合403エラーを返している限り続くと思います そこで".htaccessのアクセス制限にプラスし 可能であれば403/404/500などの表示編集をお勧めします 実際に同様な内容で悩み http://www.m-genfactory.com/datatool/accs.htm の記載の方法をしてみました それなりの効果はありました
- kosukejlampnet
- ベストアンサー率44% (126/282)
1秒間に4~6回という頻度で接続数が超えるというのは、むしろアプリケーションの質が悪いのでは?と邪推してしまいます・・・。 0.1秒でレスポンスを返すものであれば、なんでもないはずですよね・・・。 アクセスされているページがログインページだったり、何らかのフォームが設置されているページなのでしょうかね?
関連するQ&A
- 複数のWEBサーバを一つのドメインで運営する方法
複数のWEBサーバーを複数のドメインで運営する方法はあるのでしょうか。 たとえば、「日本語」「英語」「中国語」用のWEBサイトが各国の拠点で管理されているのですがグループのドメインくくってしまいたいのです。 実際は http://jp.xxxx.com/ (1) http://en.xxx.com/ (2) http://ch.xxx.com/ (3) という感じで分かれているサーバなのですが、 やりたいのは、 (1)をhttp://www.zzzz.com/jp/ (2)を /en/ (3)を /ch/ でアクセスできるようにしたいのですが、 そんな方法はありますでしょうか。 (アクセスした後にドメインは変えない方法が望ましいのですが。)
- ベストアンサー
- ネットワーク
- [ドメイン名とDNS]Webサーバとメールサーバを同一のIPアドレス上で運営すると・・・・
知人が利用する、とあるレンタルホスティングサービス(おそらく共用/有料)では Webサーバとメールサーバを同一のIPアドレス上で運営しているようでその設定は以下の通りであった。 (実際のドメイン出すわけにはいかないのでexample.comを利用しているのはご了承ください。また、取得したのはhoge.com.のドメイン名ではありません。仮にそうおいているだけです) dig @ns1.example.com www.hoge.com (途中略) www.hoge.com. 86400 IN CNAME mail.hoge.com. mail.hoge.com. 86400 IN A xxx.xxx.xxx.xxx hoge.com. 86400 IN NS ns1.example.com. hoge.com. 86400 IN NS ns2.example.com. この状態で、http://www.hoge.com/でWebサーバにアクセスすることが出来た。(当たり前) 【次にhttp://mail.hoge.com/でアクセスしたところ、これでもWebサーバにアクセスすることが出来た】 これは問題ないのでしょうか?(問題有りならば解決策を掲示して欲しいです)
- ベストアンサー
- その他(ITシステム運用・管理)
- サーバへの不自然なアクセス
初心者ながらサーバ管理をやっているものです。 今日、HTTPサーバのアクセスログを見ていて発見したのですが、 ここ数日、13時30分頃から約10分の間に、 30~40件の不自然なアクセスがあるようです。 その特徴を箇条書きにします ・参照元クライアントのIPアドレスは同じ(ただし日によって異なる) ・そのIPはJPNICのWHOISによると大手ネットワーク業者が所有するIPとなっている(日によって業者が異なる) ・参照先サイトのURLは "http:"から始まる完全なもので、全てアダルトサイト ・METHODにはGETもPOSTも使用 ・こちらのサーバには存在しないドキュメントを参照されている(しかもドメイン名が完全に異なっている) これはログの一部です xxx.xxx.xxx.xxx - - [12/Mar/2001:13:38:44 +0900] "GET http://www.topjapan.com/free/index.html HTTP/1.0" 200 11698 (アクセス元のIPは伏せています) 私が管理しているサーバのドメイン名はもちろん"topjapan.com"ではありません。 おそらくダイアルアップかなにかで接続している人の要求が こちらのサーバにきてしまっているのだと思うんですが、 まったく原因がわかりません。 原因がわかる方がいれば、是非、教えていただきたいです。
- ベストアンサー
- その他(インターネット接続・通信)
- これは自分を狙った攻撃でしょうか?
最近 NIS2003の画面に以下のようなものが頻繁に出るのですが これは攻撃なのでしょうか? 自分は ノートンをあまりよく理解していないので ネットで調べたのですが 答えが見つからず相談させていただきました。 (書いてある意味も分からない始末で…) よろしくお願いします。 環境 Win Me PCを立ち上げるたびに数十件以下のような文章が。 「Microsoft Windows 2000 SMBのデフォルト遮断」が xxx.xxx.xxx.xxxを遮断しました。 インバウンドTPC接続 ローカルアドレスサービスは(xxx.xxx.xxx.xxx) リモートアドレスサービスは(xxx.xxx.xxx.xxx) プロセス名はN/A 送信先を調べるとAPNICというところなのですが ここのサーバネームを遮断リストに入れても頻繁にきます(1日70件前後) そして 最初はスパイウェアかとも思いチェックしましたが変わらずです。 あと たまに同じN/Aというので TCP接続で許可になっている通信もあり不安なのですが どう対処すればいいのでしょうか? トロイの木馬も頻繁に送られてきて・・・・(号泣) P.S. ノートンに問い合わせても 「まあ、いろんなものに反応しますので、一概に攻撃とは・・・」 としか返事が返ってこなくてはっきりしたことが分からなくて。 しかし色んなトロイの木馬が送られてくる以上 「一概に攻撃とは…」と思えなくて(汗) ※分かりにくい文章になってましたらお許しを。
- ベストアンサー
- ウィルス・マルウェア
- ドメインでWebサーバーへアクセス
現在、IISでWebサーバーを構築し、グローバルIPアドレスで外部からアクセスが可能な状態にあります。 今回、あらたに、 ドメインを取得しました。そのドメインで、既存のWebサーバーに外部からアクセスしたいのですが、 ドメインを取得した業者に聞いたのですが、「DNSへの登録は、貴社にDNSサーバーを立てて行ってください。」といわれました。(グローバルIPを取得した業者にも同じことをいわれました) しかし、自社では技術的にDNSサーバーを立てれません。 せっかくとったドメインでなんとか、サーバーを公開したいのですが、 無料、または格安のDNSサーバーへの登録サービスはないのでしょうか? また、DNSへ登録さえすれば、外部からドメインで社内のWebサーバーに アクセスできるのでしょうか? どうか、たすけてください。お願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- webサーバーについて
自宅でwebサーバーをたてたのですが、うちはルーターにサーバマシンを つないでいるので、ルータのグローバルIPアドレスに対するドメインを 無料のところで取得しました。 そこで、外部(WAN側)から自宅のwebサーバーには アドレス欄にドメイン名を入れるだけで、アクセスできるようにするために、ルータの設定で、静的IPマスカレード設定/NAT設定というところの「Webサーバを外部に公開する (エントリ番号1を使用) 」という項目にチェックを入れて、宛先IPアドレスに サーバーマシンのローカルアドレスを記入しました。 これで大丈夫なはずだと思い、別のPCから ドメイン名でサーバマシンへのアクセスを試みたのですが、 ドメイン名をアドレス欄に入れると、ルータに接続されてしまいます。 グローバルIPアドレスでのアクセスを、サーバマシンに受け渡すような 設定は、上記の方法ではダメなのでしょうか? 使ってるルータはRV-230SEというやつで、Bフレッツです。 よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- サーバー2003で外部との別のサーバーが読めなくなりました
お世話になります。 昨日、Aサーバー(Windows Server2003)でファイル共有ができなくなりました。 イベントビューアに0x80070842を頼りにネットで調べあげたところ、serverサービスが停止になっていたので開始にしました。 そしたらAサーバーでファイル共有ができるようになりました。 同じ現象がBサーバー(Windows Server2003)にも出ていました。 ウィルスなのかスパイウェアなのかはわかりません。(鍵付きの部屋なので内部の犯行ではありません。) やれやれと思ったらAサーバーからLAN-DISKへアクセスできません。 別のパソコンやサーバーからLAN-DISKはアクセスできるのですが、Aサーバーからはできません。 他にも不具合は無いか調べてたら、Aサーバーから別のサーバー(Windows 2000Server等)にアクセスできません。 メッセージは 「\\xxx.xxx.xxx.xxxにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。 アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。 ネットワークが存在しないか、または起動されていません。 詳細情報については、[ヘルプ]をクリックしてください。」 ちなみにその別のサーバーは他のパソコン等から普通にアクセスできるものです。 となればAサーバーが他のサーバーの共有フォルダをアクセスできずにいると思われます。 ちなみに、ユーザー、パスワード等は関係ないです。(管理者用IDで入れます) 1)serverサービスを停止させるようなウィルスはありますか? 2)Aサーバーで他のパソコンの共有フォルダを見れるようにする方法はありませんか? 以上、宜しくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- ネームサーバーの更新について
現在レンタルサーバを移設しています。移設を依頼した会社から、 ネームサーバーの更新につきましては、 当方で更新代行する場合、基本的に”DNS管理者情報” が必要となりますので、あらかじめご用意くださいませ という内容のメールが届きました。 この場合、いったいどういった手段をとればいいのでしょうか? ちなみに移設しようと思っているドメインはne.jpドメインと汎用.jp ドメインです。 どうやればいいのかわかりませんので教えてください!
- 締切済み
- その他(インターネット・Webサービス)
- サーバが攻撃されている様です。どうすればいいのでしょう??
いつもお世話になっております。 先日、MySQLサーバが特定のサーバからアクセス不可となってしまいました。 エラーコードを見ると、 Host 'hostname' is blocked because of many connection errors. Unblock with 'mysqladmin flush-hosts' というエラーが現れております。この内容で調べて見たところ、'hostname'から大量の接続エラーが発生した場合に現れるエラーという事がわかりました。復旧の仕方もOK Waveの皆様のおかげでわかりました。 昨日はこれで復旧できたのですが、今日また同じ現象でMySQLが接続不可になっておりました。 この事から、どうも攻撃されている様なのですが、どういった攻撃をされているのか、調べ方がわかりません。こういった場合の調べ方と対策方法を教えて頂けませんでしょうか。こんな事初めてなので、戸惑っております。 何卒、ご教授の程、宜しくお願い致します。
- ベストアンサー
- MySQL
- 迷惑メールサーバの対処は?
某大手ドメインのメールサーバーについてなのですが・・そのドメインのメールサーバーは、自ドメイン宛の宛先不明のメールを、一旦受けとった後、丁寧に案内文までつけて、メールヘッダに書かれたFromに差し戻してくるのです。(すなわち、SMTPのRCPT TOコマンドではエラーを出さない・・) Fromを偽装した、でたらめなアドレス宛に送られた大量の宛先不明のスパムメール(メールアドレスハーベスト?)が、時には、1秒間に数百通~千通近くも、(Fromの偽装に使われた)関係ないサーバーに送られてきて、まるでDoS攻撃です。 こんな迷惑なサーバー、インターネット上で野放しにしてよいものでしょうか? 相手があまりに大手で、一概にファイアウォールなどで止めてしまうと、必要なメールも届かなくなってしまうので、困っています。 なにか、打つ手はありませんでしょうか? ちなみに、問題のサーバーの管理している会社に連絡してみましたが、改善の予定も、具体策もなし、でした。
- ベストアンサー
- その他(ITシステム運用・管理)
補足
返答ありがとうございます。 http://www.cgis.biz/tools/access/ こちらのサイトでhtaccessを編集しました。 htaccessの設定が効いているのか、今の所攻撃らしきアクセスログは残っていますが、サイト表示が重くなったりダウンしたりする事は無くなってます。 ただ、この方法だと海外の日本人が接続できないので、403ページの削除を試みたのですが/var/www/errorの「HTTP_FORBIDDEN.html.var」 を削除しても403ページが表示されてしまいます。 自分でカスタムした覚えは無いのですが、どこか別の場所なんでしょうか…