ロシアより愛をこめて・・・不正ログイン・不正アクセスの試行の状況

シェアする

e09a07958a3e14c65c16e63fc8456265_m

ロシアより愛をこめて・・・ロシアからの閲覧が多いと喜んでいたら、ひどい目に合う恐れがありますよ!

不正ログインの試行、不正アクセスの試行は続いていますが、強固とおもわれるセキュリティ対策により、成功されたことはありません。・・・ 毎朝、不正ログイン、不正アクセスの有無などをチェックしています。

WordPressで構築されたサイトを乗っ取られたと言う話を時々耳にしますが、皆さんもお聞きになったことがあると思います。

私は、WordPressで構築したサイトを6つばかり所有していて、テーマは無料で提供されている Simplicity を使用させてもらって、バージョンアップに遅れを取るまいと思い、1日に何回か管理画面を触っている状況が続いています。

6つのサイトは、ほぼ同じようにカスタマイズしてあり、プラグインは同じものがインストールしてあり、サイトにより有効化したり停止したりしています。

インストールしているプラグインの中で、不正ログイン、不正アクセスの試行の多いロシアからのアクセスを拒否設定している WP-Ban の記録をみると、相変わらず、かなりの数のロシアIPアドレスが記録され続けています。

ロシアからのアクセスですが、過去の事例からは、正統派的なアクセスは非常に少なく、不正ログイン、不正アクセスの試行が大多数を占めますので、6つのサイトにインストールしてありますが負荷が大きいため通常は停止している Slim Stat Analytics を2つのサイトだけで有効化して、これに記録された不正ログイン、不正アクセスの試行の事例をメモしておきます。

スポンサーリンク

不正ログイン・不正アクセスの試行の確認方法

不正ログイン、不正アクセスの試行の確認方法は、

  •  WP-Ban を停止して、Slim Stat Analytics  を有効化する。
  • 確認するサイトは、現在運用中の6つのWordPressで構築したサイトの内
    https://blog.iwakuni.infohttp://iwakuni.iwakuni.infoの2つのサイト。
  • 確認日時は
    2016/10/21 18:00 ~ 暫くの間。

不正ログイン・不正アクセスの試行の状況(2016/10/21 18:00 ~ 10/27 06:00)

  • 2つのサイトの Slim Stat Analytics のログから、抜粋しました。
    但し、 Slim Stat Analytics には2016/10/21 18:00以前のテスト時の記録が残っていますので、これらも入れておきます。
  • データは時々チェックして、順次追加していきます。
    (試行内容の****は、伏せ字)
  • それにしてもロシア連邦(or ロシア連邦経由?)からが多いのは、プーチン大統領の指示でKGBが裏で動いているのではないでしょうかね?
  • なお、セキュリティ用のプラグインなどのおかげで、現時点では、不正ログイン、不正アクセスは試行されただけで、突破されていません。
  • また、途中からですが、何処の検索サイトで探し当てて来るのか判るように「経由した検索サイト」を追加、同一人の仕業ではないかと思われる試行が殆どなので「パソコンOS」「ブラウザ」「Display解像度」のデータを追加しました。
  • 調査対象の2つのサイトのうちhttp://iwakuni.iwakuni.infoは、2016/10/26から「403エラー」で閲覧は不可能な状態に陥っていますが、不正ログイン、不正アクセスの試行は続いています。このサイトは、この調査が終わったら削除します。
  • Slim Stat Analytics のログを見ると、yandex.ru経由ではあるが、ロシア連邦からの正常なアクセスがチョコチョコと見られます。下見でしょうね。
 日時  2016-10-17 14:11
 IPアドレス/ホスト名  37.112.34.23 ・・・ ロシア連邦
 試行内容  ****=siteguard
「SITEGUARD」「ダッシュボート」への不正アクセスの試行
 備考 「SITEGUARD」の設定内容を盗み見して、ガードを突破して不正ログインしたいことと思います。
 日時  2016-10-20 17:01
 IPアドレス/ホスト名  46.42.128.157 ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  **** /wp-admin
「管理画面」への不正ログインの試行
 パソコンOS  Windows 7
 ブラウザ  Firefox 25
 Display解像度  1024×768
 備考  正門から不正に侵入しようと試みています。
 日時  2016-10-21 04:14
 IPアドレス/ホスト名  176.14.220.173 ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/edit.php
「投稿一覧」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  Firefox 24
 Display解像度  1024×768
 備考  投稿記事の改変を企んでいるようです。成功されると、突然怪しい詐欺画面が表示されるようになるかもしれません。
 日時  2016-10-21 18:39
 IPアドレス/ホスト名  37.204.86.92, broadband-37.204-86-92.nationalcablenetworks.ru ・・・ ロシア連邦
 試行内容  ****=siteguard
「SITEGUARD」「ダッシュボート」画面への不正アクセスの試行
 備考  「SITEGUARD」の設定内容を盗み見して、ガードを突破したいのでしょう。
 日時  2016-10-21 20:15
 IPアドレス/ホスト名  176.195.100.29, ip-176-195-100-29.bb.netbynet.ru ・・・ ロシア連邦
 試行内容  ****/profile.php
「ユーザー」「プロフィール」画面への不正アクセスの試行
 備考  ユーザー情報を盗もうとしているのか、パスワードを変更して正規のユーザーがログイン出来ないようにしようとしているのか?
 日時  2016-10-22 02:34
 IPアドレス/ホスト名  95.220.178.109, ip-95-220-178-109.bb.netbynet.ru ・・・ ロシア連邦
 試行内容  ****/link-add.php
「新規リンクの追加」画面への不正アクセスの試行
 備考  知らないうちに詐欺サイトなどへの誘導リンクが表示されるようになるかもしれませんね。
 日時  2016-10-22 08:02
 IPアドレス/ホスト名  128.72.114.115, 128-72-114-115.broadband.corbina.ru ・・・ ロシア連邦
 経由した検索サイト  直接
 試行内容  ****/update-core.php
「WordPressの更新」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  IE 8
 Display解像度  1024×768
 備考  セキュリティホールが残っているWordPressやプラグインのバージョンが使われていないか覗き見したいのでしょうか?
 日時  2016-10-22 17:37
 IPアドレス/ホスト名  176.195.98.246, ip-176-195-98-246.bb.netbynet.ru ・・・ ロシア連邦
経由した検索サイト  yandex.ru
 試行内容  ****=slimconfig
「SlimStatプラグイン」の「設定」画面への不正アクセスの試行
パソコンOS  Windows XP
ブラウザ  IE 8
Display解像度  800×600
 備考  足跡を残さないように、不正アクセスの記録を除外するように設定したいと思われます。
 日時  2016-10-23 05:04
 IPアドレス/ホスト名  195.91.224.113 ・・・ ロシア連邦
 試行内容  ****/post-new.php
「新規投稿を追加」画面への不正アクセスの試行
 備考  怪しい詐欺画面などを追加したいのでしょう。
 日時  2016-10-23 17:26
 IPアドレス/ホスト名  46.242.122.161, broadband-46-242-122-161.nationalcablenetworks.ru ・・・ ロシア連邦
 試行内容  ****/ban-options.php
「WP-Ban」の設定画面への不正アクセスの試行
 備考  これまでに「WP-Ban」によりアクセス拒否されたので、設定内容を見たかったのでしょうが、今は「WP-Ban」が停止されているので「このページにアクセスする権限がありません。」と丁寧に拒否。
 日時  2016-10-24 00:50
 IPアドレス/ホスト名  95.221.225.129, ip-95-221-225-129.bb.netbynet.ru ・・・ ロシア連邦
 試行内容  ****=63****=edit
http://iwakuni.iwakuni.info/archives/63」の編集画面への不正アクセスの試行
 備考  この記事はテスト用の記事であり閲覧は殆どありませんが、人気のある記事と勘違いして、乗っ取りたいのでしょうか?
前後の動向を見ると、日本人のような気もするが・・・
 日時  2016-10-24 22:11
 IPアドレス/ホスト名  128.72.233.202, 128-72-233-202.broadband.corbina.ru ・・・ ロシア連邦
経由した検索サイト  yandex.ru
 試行内容  ****/=upload-theme
「テーマのアップロード」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  Firefox 26
 Display解像度  1024×768
 備考  ある日、突然にテーマが変わって表示されたら驚きますよ。
 日時  2016-10-24 22:28
 IPアドレス/ホスト名  128.68.47.85, 128-68-47-85.broadband.corbina.ru ・・・ ロシア連邦
 試行内容  ****=79****=edit
http://iwakuni.iwakuni.info/archives/79」の編集画面への不正アクセスの試行
 備考  このサイトの編集画面への不正アクセスの試行は本日2回目。
このサイトの性格からみて、違法改変しても気が付かないと思っているのか?
このサイトの性格が判ると言うことは日本語が解ると思われる。ひょっとすると日本人が、ロシア経由でサイト荒らしを企てているのかもしれない。

スポンサーリンク

 日時  2016-10-25 22:58
 IPアドレス/ホスト名  37.204.105.120, broadband-37.204-105-120.nationalcablenetworks.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  wp-admin
ログイン画面を飛び越して、「ダッシュボード」へ直接の不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  IE 8
 Display解像度  800×600
 備考  SiteGuardにより、ログインに失敗したりロックされたりするので、近道を通って「ダッシュボード」へトライしたのでしょう。
 日時  2016-10-26 00:31
 IPアドレス/ホスト名  178.140.239.174, broadband-178-140-239-174.nationalcablenetworks.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/plugins.php
「インストール済みプラグイン」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  IE 8
 Display解像度  800×600
 備考  どのようなセキュリティ対策用のプラグインが使用してあるのか覗いてみたいこととおもいますよ。
 日時  2016-10-26 06:59
 IPアドレス/ホスト名  93.80.51.201, 93-80-51-201.broadband.corbina.ru ・・・ ロシア連邦
 試行内容  ****/widgets.php
「ウイジット」のカスタマイズ画面への不正アクセスの試行
 備考  画面を無茶苦茶にしたいように思います。
 日時  2016-10-26 12:26
 IPアドレス/ホスト名  176.14.231.231 ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/plugins.php
「インストール済みプラグイン」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  IE 8
 Display解像度  800×600
 備考  プラグインが好きな輩のようです。
 日時  2016-10-26 12:46
 IPアドレス/ホスト名  95.24.125.26, 95-24-125-26.broadband.corbina.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****=466****=edit
https://blog.iwakuni.info/archives/466」の編集画面へ不正アクセスの試行
 パソコンOS  Windows 7
 ブラウザ  Firefox 25
 Display解像度  1366×768
 備考  このような記事でも、改竄かる価値があるんですね。
 日時  2016-10-26 16:59
 IPアドレス/ホスト名  37.204.41.139, broadband-37.204-41-139.nationalcablenetworks.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/plugins.php
「インストール済みプラグイン」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  IE 8
 Display解像度  800×600
 備考  「IPアドレス/ホスト名」は異なっても、「パソコンOS」「ブラウザ」「Display解像度」他が同じと言うことは、プラグイン大好きな同じ輩の仕業ですね。
 日時  2016-10-26 19:01
 IPアドレス/ホスト名  5.228.35.111, broadband-5-228-35-111.nationalcablenetworks.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  wp-admin
「ダッシュボード」へ直接の不正アクセスの試行
 パソコンOS  Vista
 ブラウザ  Opera 9.8
 Display解像度  1366×768
 備考
 日時  2016-10-27 02:24
 IPアドレス/ホスト名  46.42.131.183 ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****=siteguard
「SITEGUARD」「ダッシュボート」画面への不正アクセスの試行
 パソコンOS  Windows 7
 ブラウザ  Chrome 31
 Display解像度  1366×768
 備考
 日時  2016-10-27 04:29
 IPアドレス/ホスト名  79.139.128.91, ppp79-139-128-91.pppoe.spdop.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/profile.php
「プロフィール」画面への不正アクセスの試行
 パソコンOS  Windows XP
 ブラウザ  Firefox 25
 Display解像度  1024×768
 備考  「メールアドレス」などが欲しいことでしょう。

このまま調査を続けてもきりがないので、この調査はここで一旦打ち切り、次の方法の調査に移ります。

スポンサーリンク

不正ログイン・不正アクセスの試行状況の調査を終わり、WP-Banプラグインを有効化して、その後の状況をみる(2016/10/27 06:00 ~ 10/29 18:00)

短期間ではありましたが、https://blog.iwakuni.infohttp://iwakuni.iwakuni.infoの2つのサイトでの不正ログイン・不正アクセスの試行状況の調査を終わり、ロシアからのアクセスを拒否設定したWP-Banプラグインを有効化して、その後の状況をSlim Stat Analytics のログとWP-Ban のログを抜粋して状況をお知らせします。

ロシアからのアクセスを拒否設定したWP-Banプラグインを有効化して、ロシアからの不正ログイン・不正アクセスの試行が無くなれば、WP-Banプラグインは有効に使用できることになります。

WP-Ban のログを抜粋

WP-Banによりアクセスを拒否されたIPアドレス/ホスト名です。
上のSlim Stat Analytics のログと比べてみて下さい。
不正ログイン・不正アクセスの試行に使用されたIPアドレス/ホスト名が並んでいます。

ロシア連邦の他に、しつこく不正ログイン・不正アクセスに挑戦するポーランドも記録されています。

なお、下表に記載したIPアドレスは、2つのサイトの両方に記録されたものが殆どですから、悪の巣窟として使用されていると思われるので、アクセス拒否設定しても害はないですね。

IPアドレス ホスト名
 37.110.97.243  broadband-37-110-97-243.nationalcablenetworks.ru
 37.147.82.34  37-147-82-34.broadband.corbina.ru
 46.42.161.201  ロシア連邦
 95.221.199.60
 128.68.14.178  128-68-14-178.broadband.corbina.ru
 144.76.91.209  s8.jupe.pl
 176.15.236.214  ロシア連邦
 176.195.96.115  ip-176-195-96-115.bb.netbynet.ru
 178.140.233.20  broadband-178-140-233-20.nationalcablenetworks.ru
 185.23.21.26  s12.zenbox.pl
 188.32.224.176  broadband-188-32-224-176.nationalcablenetworks.ru
 213.241.52.165  213-241-52-165.ip.webion.net.pl

ru はロシア連邦、pl はポーランド。

Slim Stat Analytics のログを抜粋

WP-Banプラグインを有効化した以降のSlim Stat Analytics のログです。
不正ログイン・不正アクセスの試行の記録は全く見当たりません。

SiteGuard WP Pluginのログイン履歴を確認

SiteGuard WP Plugin の「ログイン履歴」をチェックしましたが、不正ログインの試行は見当たりません。・・・私自身がログインに失敗した履歴は記録されています。

スポンサーリンク

最後のテスト確認(2016/10/29 18:00 ~ 10/31 24:00)

WP-Banを有効化したら、WP-Banに記録された代わりにSlim Stat Analytics のログへの記録が無くなったのは、WP-Banのアクセス制限により不正ログイン・不正アクセスの試行が阻止されたことが明確になったことと思います。

ここで、最後の確認として、WP-Banを停止して、Slim Stat Analytics のログへの記録を見てみることにします。

なお、採取するデータは最小限にします。

 日時  2016-10-31 00:17
 IPアドレス/ホスト名  128.72.159.36, 128-72-159-36.broadband.corbina.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****/ban-options.php
 備考  「注意! あなたが使用している IP アドレスは、ハッカーによって使用されています。/Caution! IP address you are using is being used by hackers.」と表示されてアクセス制限される「WP-Ban」の設定画面を見ようと思って不正アクセスを試行したが、「このページにアクセスする権限がありません。」と表示されて不正アクセスに失敗。
 日時  2016-10-31 15:47
 IPアドレス/ホスト名  95.24.157.30, 95-24-157-30.broadband.corbina.ru ・・・ ロシア連邦
 経由した検索サイト  yandex.ru
 試行内容  ****=backwpupsettings
 備考  多分、「BackWPup」プラグインの設定画面への不正アクセスの試行ではないかと思われるが、私のサイトでは「BackWPup」は使用していないので定かではない。「このページにアクセスする権限がありません。」と表示されて不正アクセスに失敗している。

不正ログイン・不正アクセスの試行の調査を終わります

以上で不正ログイン、不正アクセスの試行の調査を終わります。

今後は、動作を重くするSlim Stat Analytics の使用は中止して、WP-Banをセキュリティの一つとして活用していきます。

スポンサーリンク
関連コンテンツ



シェアする

フォローする

トップへ戻る