WordPress: wp-login.php へのPOSTアクセス

ここ数日、このメモのログインページへのPOSTアクセスがやたらと多い。
興味本位でログインページに入力してみたのではなく、短時間にログインを繰り返そうとしているから、確信犯であると思われる。以下の4行がその例。

unixserv.ru - - [18/Dec/2012:12:50:46 +0900] "POST /notes/wp-login.php HTTP/1.1" 
h2081923.stratoserver.net - - [18/Dec/2012:12:50:46 +0900] "POST /notes/wp-login.php HTTP/1.1" 
50.116.121.84 - - [18/Dec/2012:12:50:49 +0900] "POST /notes/wp-login.php HTTP/1.1" 
computercenters.net - - [18/Dec/2012:12:50:51 +0900] "POST /notes/wp-login.php HTTP/1.1"

auther から判断出来る投稿者のアカウントが運良く簡単なパスワードを使用していてることに期待したハッキングを狙っているのか、誰でもアカウントを作れる設定になっていることを期待しているのか と考える。コメントスパムを書き込みたいだけなのかもしれないが、気分が悪い。

それで、今月に入って、wp-login.php へPOSTメソッドでアクセスしてきたホスト（逆引き）を抽出してみた。それが以下のリスト。Webアクセスログを grep, awk, sort, uniq で処理。

10-6-78-112.static.reverse.digipower.vn
108.179.218.220
112.78.8.3
118.69.198.230
173-231-52-246.hosted.static.webnx.com
178.157.80.11.newhost.ro
184-106-168-183.static.cloud-ips.com
193.33.186.241
221.132.33.0-static
37-123.98-92.salay.com.tr
46-45-169-180.turkrdns.com
50-57-174-146.static.cloud-ips.com
50.116.121.84
67.205.111.202
69-64-68-159.dedicated.codero.net
855503.vps-10.com
89.225.255.178.static.occentus.net
98.126.160.18.static.krypt.com
chatsubo.proplay.biz
computercenters.net
cp1.simplehelix.com
d4b2c650.static.ziggozakelijk.nl
ds-61525.ds-10.com
evop18.areserver.net
evs.contractwebdev.com
exo.exoticagirls.com
extriple.com
h2081923.stratoserver.net
hamburg179.server4you.net
host.vagospermanentes.com
hosting.mediaserv.ro
hs-1086.dedicated.hostalia.com
imaginemore.imaginemore.com
io.iwmnetwork.com
ion.photon.net
ip-182-50-141-162.ip.secureserver.net
ip-46-252-193-47.ip.secureserver.net
ip-50-63-67-12.ip.secureserver.net
koala.dima.hu
ks308099.kimsufi.com
li151-186.members.linode.com
li253-68.members.linode.com
li342-240.members.linode.com
lubestudio.com
mail.tirkes.net
mehlhope.net
minecraft-multiplayer.com
mrpotato.theservercluster.com
navo.navohost.com
nemezis.hexcom.net
neptun.mxserver.ro
neptune.usedns.com
ns.firsthost.lv
ns1.exsen.net
ns21.igetfun.com
ns3.kilichosting.com
ns367628.ovh.net
null
proctorpas.com
retaks.com
s15350380.onlinehome-server.info
server-46.45.161.250.as42926.net
server2.timp-liber.net
server4.prodominios.com
sirius.pixlgeek.com
sr5-282.hostkey.ru
static-106-46-210-31.sadecehosting.net
static.228.49.9.176.clients.your-server.de
static.238.240.9.5.clients.your-server.de
static.32.128.46.78.clients.your-server.de
static.50.81.9.5.clients.your-server.de
static.cmcti.vn
static.vital.net.tr
the.thedigitalfranchise.com
toyomi.komako.net
unixserv.ru
viewport10.hawaiiinformation.com
vps.muchik.com
vps240.ns.planethoster.net
vz5.hostlife.net
web1.4bestserver.com
weeky.it
westorlando-cust.dgram.net
www1.sadway.de
x01vm12.nuestroserver.com

恐らく、これらのホストはなんらかのウィルスに感染してBotとして動いているんでしょう。海外サイトから私のメモページにアクセスが発生する必然性は思い当たらないため、これらのホスト名の前に”deny from “を付加して / の .htaccess に記述しておくことにする。
状況によっては、より広いドメインで拒否することになるかもしれないが、それは今後のログを見て判断する。(以下に添付)

sample.htaccess.txt.gz