219.165.234.137 から異常アクセス

今日の4時位から MRTG のモニタで、ネットワーク速度・CPU負荷などに軒並み 異常なトラヒックが入っている。top でプロセスを見ると、Web サーバの負荷が 見えた。アクセス履歴をみると、以下のようなアクセスがずーっと続いている。

219.165.234.137 - - [27/Jun/2006:22:47:58 +0900]
 "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
 "http://tsaitoh.net/~mitsuki/diary/index.cgi"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:01 +0900]
 "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
 "http://tsaitoh.net/~mitsuki/diary/index.cgi"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:03 +0900]
 "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
 "http://tsaitoh.net/~mitsuki/diary/index.cgi"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:04 +0900]
 "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
 "http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:05 +0900]
 "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
 "http://tsaitoh.net/~mitsuki/diary/index.cgi"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:05 +0900]
 "GET /~mitsuki/diary/?200506#200506170200506170200506080200506180200506300 HTTP/1.0" 200 12764
 "http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180"
 "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"

逆引すると i219-165-234-137.s06.a014.ap.plala.or.jp.

異常アクセス元は、219.165.234.137 からのみ。 逆引結果は、i219-165-234-137.s06.a014.ap.plala.or.jp. 日記のページをクロールしている途中で、相手が暴走しているような雰囲気。 ひとまずは、ルータのアクセスフィルタで 219.165.234.137 だけのアクセス制限を施す。 ページへのアクセスだし、apache 側での制限も考えるが、アクセス履歴書き込み負荷 も残るだろうし、ルータ制限が確実。

UserAgent が MSIE4.0; Windows NT ってなっているが、こんなの残っているのか?

今日は天気も曇なのに、今期最初の『サーバ CPU 温度 66℃越え』の警告が 出ていたが、この負荷の影響も大きいと思われる。

nmap 探査

追記:

相手の探索には、unix では nmap が便利。ということで、

自宅では、ルータでアクセス制限してしまったので、職場のマシンから、nmap を起動する。
$ su
# nmap -v -O 219.165.234.137     (OS判定させてみる)
たいした返答が無い。
パーソナルファイアウォールを使っていれば、返答無しなのもあたりまえ。
# nmap -v -sP 219.165.234.137/24    (同一セグメント内の複数マシンに ping をかける)
ポツポツと返答のあるマシンと返答の無いマシンが混在している。
この雰囲気から、プロバイダが一般ユーザに割り振っている空間のような...

nmap のセグメントを 24 から少しづつ 23,22 と広げていくと、幾つかのマシンから HTTP ポートが開いているのが観測できたので、ブラウザで見てみる。 1つは、 明らかに Apache が動いている。 わざと変な URL を与えてエラーをだすと、
# Apache/1.3.33 Server at kasaisugurutamotsunokonpyuta.local Port 80
との表示。 2つめは、ルータの認証画面がでる。 他は、画面に何も表示されない。アクセス制限付きのルータであろう。 ということで、219.165.234.137 は、一般ユーザのマシンであり、サーチエンジン系のクローラ では無いと思われる。

 

2017年2月

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28        

ウェブページ

アーカイブ

Webデータ

このブログ記事について

このページは、T-Saitohが2006年6月27日 00:00に書いたブログ記事です。

ひとつ前のブログ記事は「介護保険で手摺り工事?」です。

次のブログ記事は「去年より暑い?...」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。