WordPress を狙ったと思われる不正アクセス発生

Webサーバーへのアクセスログをチェックしていたら、次の WordPress をターゲットとしているとしか考えられない記録が残っていました。

このサーバーのWordPress は DocumentRoot 直下には無いので、全部ハズレアタックで空振りになっていますが、逆引きホスト名が xx.co.jp ドメインになっているので、一応確認してみました。

正直なところ、被害もなく、ログにノイズが入ったくらいなので、Webサーバー管理者としては放置しておく方が楽。
しかし、放置していたら、こういうくだらない不正アクセス発生状況がどんどん悪くなる一方なので、攻撃サイトが国内の場合は、面倒でも出来るだけプロバイダーに情報を提供するようにしています。(ログ左の3桁の数字は、行番号)海外からのアクセスだったら、よほどひどい状況でない限りは放置になります。

   657	[28/Feb/2017:18:23:57] - - server.mobile-lib.co.jp    "GET //wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.1" 404 -       "-"
   658	[28/Feb/2017:18:23:57] - - server.mobile-lib.co.jp    "POST //wp-admin/admin-ajax.php HTTP/1.1" 404 -       "-"
   659	[28/Feb/2017:18:23:58] - - server.mobile-lib.co.jp    "GET //wp-content/themes/Avada/framework/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   660	[28/Feb/2017:18:24:07] - - server.mobile-lib.co.jp    "GET //wp-content/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   661	[28/Feb/2017:18:24:10] - - server.mobile-lib.co.jp    "GET //wp-content/themes/centum/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   662	[28/Feb/2017:18:24:13] - - server.mobile-lib.co.jp    "GET //wp-admin/admin-ajax.php?action=revslider_show_image&img=../../.my.cnf HTTP/1.1" 404 -       "-"
   663	[28/Feb/2017:18:24:23] - - server.mobile-lib.co.jp    "GET //wp-admin/admin-ajax.php?action=revslider_show_image&img=../../../.my.cnf HTTP/1.1" 404 -       "-"
   664	[28/Feb/2017:18:24:33] - - server.mobile-lib.co.jp    "GET //.libs.php?info HTTP/1.1" 404 -       "-"
   665	[28/Feb/2017:18:24:36] - - server.mobile-lib.co.jp    "GET //wp-includes/include.php HTTP/1.1" 404 -       "-"
   666	[28/Feb/2017:18:24:38] - - server.mobile-lib.co.jp    "GET //wp-includes/SimplePie/XML/Declaration/parser.php?info HTTP/1.1" 404 -       "-"
   667	[28/Feb/2017:18:24:40] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.1" 404 -       "-"
   668	[28/Feb/2017:18:24:40] - - server.mobile-lib.co.jp    "POST /wp-admin/admin-ajax.php HTTP/1.1" 404 -       "-"
   669	[28/Feb/2017:18:24:41] - - server.mobile-lib.co.jp    "GET /wp-content/themes/Avada/framework/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   670	[28/Feb/2017:18:24:44] - - server.mobile-lib.co.jp    "GET /wp-content/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   671	[28/Feb/2017:18:24:47] - - server.mobile-lib.co.jp    "GET /wp-content/themes/centum/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   672	[28/Feb/2017:18:24:50] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../../.my.cnf HTTP/1.1" 404 -       "-"
   673	[28/Feb/2017:18:25:00] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../../../.my.cnf HTTP/1.1" 404 -       "-"
   675	[28/Feb/2017:18:25:10] - - server.mobile-lib.co.jp    "GET /.libs.php?info HTTP/1.1" 404 -       "-"
   676	[28/Feb/2017:18:25:14] - - server.mobile-lib.co.jp    "GET /wp-includes/include.php HTTP/1.1" 404 -       "-"
   677	[28/Feb/2017:18:25:16] - - server.mobile-lib.co.jp    "GET /wp-includes/SimplePie/XML/Declaration/parser.php?info HTTP/1.1" 404 -       "-"
   682	[28/Feb/2017:18:27:33] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.1" 404 -       "-"
   683	[28/Feb/2017:18:27:34] - - server.mobile-lib.co.jp    "POST /wp-admin/admin-ajax.php HTTP/1.1" 404 -       "-"
   684	[28/Feb/2017:18:27:35] - - server.mobile-lib.co.jp    "GET /wp-content/themes/Avada/framework/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   686	[28/Feb/2017:18:27:39] - - server.mobile-lib.co.jp    "GET /wp-content/plugins/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   688	[28/Feb/2017:18:27:42] - - server.mobile-lib.co.jp    "GET /wp-content/themes/centum/revslider/temp/update_extract/revslider/.libs.php HTTP/1.1" 404 -       "-"
   689	[28/Feb/2017:18:27:46] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../../.my.cnf HTTP/1.1" 404 -       "-"
   691	[28/Feb/2017:18:27:56] - - server.mobile-lib.co.jp    "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../../../.my.cnf HTTP/1.1" 404 -       "-"
   692	[28/Feb/2017:18:28:06] - - server.mobile-lib.co.jp    "GET /.libs.php?info HTTP/1.1" 404 -       "-"
   693	[28/Feb/2017:18:28:09] - - server.mobile-lib.co.jp    "GET /wp-includes/include.php HTTP/1.1" 404 -       "-"
   694	[28/Feb/2017:18:28:12] - - server.mobile-lib.co.jp    "GET /wp-includes/SimplePie/XML/Declaration/parser.php?info HTTP/1.1" 404 -

nslookup でIPアドレスを調べると、

>server.mobile-lib.co.jp
Server: tokyo
Address: 116.58.172.107#53

** server can't find server.mobile-lib.co.jp: NXDOMAIN

IPアドレス情報無し。正引き設定されていない。
google で mobile-lib.co.jp というドメイン(www は付かない)を検索してみると、mobile-lib.co.jp というサーバーが見つかりました。

Non-authoritative answer:
Name: mobile-lib.co.jp
Address: 219.94.161.93

93.161.94.219.in-addr.arpa name = 93.161.94.219.static.www146b.sakura.ne.jp.

攻撃してきたホストと会社のwebサーバーは異なるようです。しかも、また sakura かよ〜。と思いながら、ファイヤーウォールログを確認してみたところ、以下のようにアクセスが発生していました。「202.218.49.32」 がアクセス元のようです。

Feb 28 18:23:57 ipfw: 8002 Accept TCP 202.218.49.32:46335 116.58.172.107:80 in 
Feb 28 18:23:57 ipfw: 8002 Accept TCP 202.218.49.32:46338 116.58.172.107:80 in 
Feb 28 18:23:58 ipfw: 8002 Accept TCP 202.218.49.32:46343 116.58.172.107:80 in 
Feb 28 18:24:07 ipfw: 8002 Accept TCP 202.218.49.32:46455 116.58.172.107:80 in 
Feb 28 18:24:10 ipfw: 8002 Accept TCP 202.218.49.32:46491 116.58.172.107:80 in 
Feb 28 18:24:13 ipfw: 8002 Accept TCP 202.218.49.32:46528 116.58.172.107:80 in 
Feb 28 18:24:23 ipfw: 8002 Accept TCP 202.218.49.32:46627 116.58.172.107:80 in 
Feb 28 18:24:33 ipfw: 8002 Accept TCP 202.218.49.32:46734 116.58.172.107:80 in 
Feb 28 18:24:36 ipfw: 8002 Accept TCP 202.218.49.32:46772 116.58.172.107:80 in 
Feb 28 18:24:38 ipfw: 8002 Accept TCP 202.218.49.32:46797 116.58.172.107:80 in 
Feb 28 18:24:40 ipfw: 8002 Accept TCP 202.218.49.32:46823 116.58.172.107:80 in 
Feb 28 18:24:41 ipfw: 8002 Accept TCP 202.218.49.32:46825 116.58.172.107:80 in 
Feb 28 18:24:41 ipfw: 8002 Accept TCP 202.218.49.32:46830 116.58.172.107:80 in 
Feb 28 18:24:44 ipfw: 8002 Accept TCP 202.218.49.32:46871 116.58.172.107:80 in 
Feb 28 18:24:47 ipfw: 8002 Accept TCP 202.218.49.32:46913 116.58.172.107:80 in 
Feb 28 18:24:50 ipfw: 8002 Accept TCP 202.218.49.32:46951 116.58.172.107:80 in 
Feb 28 18:25:00 ipfw: 8002 Accept TCP 202.218.49.32:47049 116.58.172.107:80 in 
Feb 28 18:25:10 ipfw: 8002 Accept TCP 202.218.49.32:47146 116.58.172.107:80 in 
Feb 28 18:25:14 ipfw: 8002 Accept TCP 202.218.49.32:47181 116.58.172.107:80 in 
Feb 28 18:25:16 ipfw: 8002 Accept TCP 202.218.49.32:47210 116.58.172.107:80 in 
Feb 28 18:25:19 ipfw: 8002 Accept TCP 202.218.49.32:47243 116.58.172.107:80 in 
Feb 28 18:25:21 ipfw: 8002 Accept TCP 202.218.49.32:47268 116.58.172.107:80 in 
Feb 28 18:25:26 ipfw: 8002 Accept TCP 202.218.49.32:47321 116.58.172.107:80 in 
Feb 28 18:25:33 ipfw: 8002 Accept TCP 202.218.49.32:47410 116.58.172.107:80 in 
Feb 28 18:25:36 ipfw: 8002 Accept TCP 202.218.49.32:47439 116.58.172.107:80 in 
Feb 28 18:25:45 ipfw: 8002 Accept TCP 202.218.49.32:47532 116.58.172.107:80 in 
Feb 28 18:25:47 ipfw: 8002 Accept TCP 202.218.49.32:47565 116.58.172.107:80 in 
Feb 28 18:25:58 ipfw: 8002 Accept TCP 202.218.49.32:47674 116.58.172.107:80 in 
Feb 28 18:26:01 ipfw: 8002 Accept TCP 202.218.49.32:47713 116.58.172.107:80 in 
Feb 28 18:26:14 ipfw: 8002 Accept TCP 202.218.49.32:47859 116.58.172.107:80 in 
Feb 28 18:26:17 ipfw: 8002 Accept TCP 202.218.49.32:47894 116.58.172.107:80 in 
Feb 28 18:26:34 ipfw: 8002 Accept TCP 202.218.49.32:48106 116.58.172.107:80 in 
Feb 28 18:26:40 ipfw: 8002 Accept TCP 202.218.49.32:48167 116.58.172.107:80 in 
Feb 28 18:26:55 ipfw: 8002 Accept TCP 202.218.49.32:48321 116.58.172.107:80 in 
Feb 28 18:26:59 ipfw: 8002 Accept TCP 202.218.49.32:48357 116.58.172.107:80 in 
Feb 28 18:27:09 ipfw: 8002 Accept TCP 202.218.49.32:48474 116.58.172.107:80 in 
Feb 28 18:27:14 ipfw: 8002 Accept TCP 202.218.49.32:48515 116.58.172.107:80 in 
Feb 28 18:27:23 ipfw: 8002 Accept TCP 202.218.49.32:48614 116.58.172.107:80 in 
Feb 28 18:27:25 ipfw: 8002 Accept TCP 202.218.49.32:48646 116.58.172.107:80 in 
Feb 28 18:27:33 ipfw: 8002 Accept TCP 202.218.49.32:48733 116.58.172.107:80 in 
Feb 28 18:27:34 ipfw: 8002 Accept TCP 202.218.49.32:48740 116.58.172.107:80 in 
Feb 28 18:27:35 ipfw: 8002 Accept TCP 202.218.49.32:48760 116.58.172.107:80 in 
Feb 28 18:27:39 ipfw: 8002 Accept TCP 202.218.49.32:48807 116.58.172.107:80 in 
Feb 28 18:27:42 ipfw: 8002 Accept TCP 202.218.49.32:48849 116.58.172.107:80 in 
Feb 28 18:27:46 ipfw: 8002 Accept TCP 202.218.49.32:48880 116.58.172.107:80 in 
Feb 28 18:27:56 ipfw: 8002 Accept TCP 202.218.49.32:48987 116.58.172.107:80 in 
Feb 28 18:28:06 ipfw: 8002 Accept TCP 202.218.49.32:49089 116.58.172.107:80 in 
Feb 28 18:28:10 ipfw: 8002 Accept TCP 202.218.49.32:49125 116.58.172.107:80 in 
Feb 28 18:28:12 ipfw: 8002 Accept TCP 202.218.49.32:49150 116.58.172.107:80 in
> 202.218.49.32
32.49.218.202.in-addr.arpa canonical name = 32.joes-net.49.218.202.in-addr.arpa.
32.joes-net.49.218.202.in-addr.arpa name = server.mobile-lib.co.jp.

悪名高い Sakura とは別プロバイダーのようです。

inetnum: 202.218.49.0 - 202.218.49.127
netname: JOES-NET13
descr: Joe's Web Hosting Inc.
country: JP

Joe’s Web Hosting Inc. というプロバイダーのようで、検索してみると簡単に見つかりました。大阪のホスティングの会社のようです。

プロバイダーへの連絡というのは毎回連絡窓口を見つけるのが大変です。だいたい大手プロバイダーというのはタカビーで、販売窓口と会員用の窓口はあるものの、被害者からの窓口は見つけにくいところにあるもので、これを見つけるのが大変。

このJoe’s も被害者窓口というのはなくて、「問い合わせ窓口」というWebページを開いたものの、会員向けとしか思えないページが現れます。https://support.joeswebhosting.net/

ここしかインプットできそうなページがないので「チケットを発行する」というボタンを押してみたところ、一応部外者でも入力できそうな画面が出て来ました。そして、入力。

件名: 貴社IPアドレスからのHTTPポートへの不正アクセス

当方のWebサーバーに対し、貴社アドレスと推測されるIPアドレスから port 80 の WordPress への攻撃を目的としたと考えられる連続アクセスを検知しましたので、連絡いたします。

サーバーが乗っ取られているのか、利用者のちょっとした出来心なのかはわかりませんが、ログを添付いたしますので、確認と対策をお願いいたします。

上記Webログ、ファイヤーウォールログを添付して、送信。
送った内容には、IPアドレス、時刻、httpdログがあるので、調べる気になればサーバー管理者の方で調査できるはず。TCPなのでリフレクターではないはず。

自動で受け付けられて、チケットIDが発行されて、コピーメールが届きました。同封されているIDで、ステータスをチェック出来そう。これは素晴らしいシステム。

今までこういう不正アクセスに関してのレポートを入力して、まともな回答があったプロバイダーは無いので、期待していませんけどね。(不正侵入じゃなくウィルス添付メールなんかは、レポートすると比較的反応がいい。)Sakura.ne.jp に関しては、一言の連絡もなく無視されましたからね。
Joe’s からは何か回答が来るだろうか?

追記

翌日、レポート先プロバイダーから返信が届きました。一部をマスク・省略して転記します。

平素は弊社サービスをご利用いただき、誠にありがとうございます。
Joe’s クラウドコンピューティング  xxxxと申します。
頂きましたチケットの内容につきましてお知らせいたします。

この度は連続アクセスの件でご迷惑をお掛け致しました。
内容を調査し、対策させていただきます。
何卒よろしくお願い申し上げます。

その他ご不明な点等ございましたら、お気軽にお問い合わせください。
今後とも、弊社サービスをご愛顧賜りましたら幸いです。

テンプレートを編集した文章とは思いますが、まともな回答を、インプット翌日にいただきましたので、ちゃんとしたプロバイダーっぽいと実感できます。プロバイダーからの連絡とはいえ、その先のユーザーが使っているサーバーですから、どの程度の情報が記録されていて、どの程度調査が進むかは、私には知る術はなく、この先のレポートがあるかどうかは不明ですけど、ボールはプロバイダー側に渡ったと実感。
大手プロバイダーのサービスデスクの受付を利用すると、事件には関係ないOSとか使っているメールソフトとか、内容を理解せず関係ない情報を尋ねてきますからうんざりしますが、今回は、私の方ではこれ以上の調査を行う必要無しということになります。話がスムーズに伝わって良かったです。

機会があるなら、サービスを試してみたいと感じるレスポンスでした。

Comments

  1. 初めまして。mobile-lib.co.jpで検索してこちらにたどり着きました。
    本日、私の運営するブログにもIPアドレス202.218.49.32、server.mobile-lib.co.jpから脆弱性が確認されているWordpressプラグイン他への空振りアタックがありました。

    Joe’s Web Hostingで対策されていないのか、株式会社モバイルリブが再度セキュリティ破られたのかは不明ですが、迷惑な話です。

    1. nori さん、
      コメントに気づかなくて、公開が遅くなってしまいました。ごめんなさい。
      まだ、server.mobile-lib.co.jp から他人のサーバーへのアタックが続いているのですね。コメントを頂くまで、この件、すっかり忘れていました。

      もらっていた問い合わせ用のIDを使って状況を確認してみたところ、問い合わせの翌日、クローズされていました。
      優れていると思ったのは、受付システムだけで、Joe’s Cloud Computing のサポートも、Sakura同様、クソのようです。
      何の調査もせず、返信だけしてお終いというやりかたを当然のように考えているみたいです。

      今回の結論は、Joe’s Web Hosting というホスティング会社のサーバーは、簡単にサーバーへ侵入を許す仕様、または踏み台として利用しやすい仕様のようで、こんなところに大切なデータを預けるというのはぞっとする ということになります。

コメントを残す