サーバー移転してから、ログの保存がいまいちわかりづらくてやっていませんでしたが、ログを保存するようにして昨日ダウンロードしたので久しぶりにiLogScannerで解析してみた。
ログが、正確に一ヶ月分なのか見てみると10月31日の12時から、11月15の1時くらまででした。
あれ・・・ めちゃめちゃ多いやん。何これ。うちのアクセスってほとんど攻撃者かよと思えるくらい多いではないか・・・。そんなに恨まれるようなことは、していないつもりなんだが・・・。たった約15日でこれかよ。大杉。
ログを見てみた。
その他の件数が異様に多いので該当箇所(と言ってもほとんどその他だが)を見てみると、何のことはないほとんど同じ画像へのGETだった。ファイル名にxが混じってるからかな・・・。他にもURLにxが入っているものもその他の項目になっていました。ほとんどの件数が、関係なさそうです。
さて、SQLインジェクションとディレクトリトラバーサルを見てまた、ざっとエクステンション名を挙げてみる。今回は、Joomla!1.5なのでcom_なんとかでアクセスされることはほとんど無いのですぐわかる。
com_djcatalog, com_pinboard, com_idoblog, com_surveymanager, com_kbase, com_catalogproduction, com_album(ディレクトリトラバーサル), com_jinc(ディレクトリトラバーサル), com_joomradio, com_marketplace, com_jbudgetsmagic, com_foobla_suggestions, com_ignitegallery
※これらのエクステンションに、脆弱性があると指摘しているわけではなく、何か根拠があってそのエクステンションで攻撃しているのかもわからないから、注意してください。という意味なのでご注意ください。お使いの方は、最新版とその情報を調べましょう。
これくらいでした。初めて見るのが多いですね。
ログを見ているとディレクトリトラバーサルが、一番怖い気がします。SQLインジェクションの方は、同じIPで何度か日を変えて来ているようだが、ディレクトリトラバーサルの攻撃は、IPアドレスがその都度異なります。より、悪質っぽいですね。
それにしても、15日でこの件数(その他を除いた)は、今までで一番多いです。みなさん気をつけましょう。