ホーム » コンピュータ » Linux » 219.165.234.137 から異常アクセス

システム

最近の投稿

アーカイブ

カテゴリー

219.165.234.137 から異常アクセス

今日の4時位から MRTG のモニタで、ネットワーク速度・CPU負荷などに軒並み 異常なトラヒックが入っている。top でプロセスを見ると、Web サーバの負荷が 見えた。アクセス履歴をみると、以下のようなアクセスがずーっと続いている。

219.165.234.137 - - [27/Jun/2006:22:47:58 +0900]
"POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
"http://tsaitoh.net/~mitsuki/diary/index.cgi"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:01 +0900]
"POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
"http://tsaitoh.net/~mitsuki/diary/index.cgi"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:03 +0900]
"POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
"http://tsaitoh.net/~mitsuki/diary/index.cgi"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:04 +0900]
"POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
"http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:05 +0900]
"POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319
"http://tsaitoh.net/~mitsuki/diary/index.cgi"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
219.165.234.137 - - [27/Jun/2006:22:48:05 +0900]
"GET /~mitsuki/diary/?200506#200506170200506170200506080200506180200506300 HTTP/1.0" 200 12764
"http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180"
"Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"

逆引すると i219-165-234-137.s06.a014.ap.plala.or.jp.

異常アクセス元は、219.165.234.137 からのみ。 逆引結果は、i219-165-234-137.s06.a014.ap.plala.or.jp. 日記のページをクロールしている途中で、相手が暴走しているような雰囲気。 ひとまずは、ルータのアクセスフィルタで 219.165.234.137 だけのアクセス制限を施す。 ページへのアクセスだし、apache 側での制限も考えるが、アクセス履歴書き込み負荷 も残るだろうし、ルータ制限が確実。

UserAgent が MSIE4.0; Windows NT ってなっているが、こんなの残っているのか?

今日は天気も曇なのに、今期最初の『サーバ CPU 温度 66℃越え』の警告が 出ていたが、この負荷の影響も大きいと思われる。

nmap 探査

追記:

相手の探索には、unix では nmap が便利。ということで、

自宅では、ルータでアクセス制限してしまったので、職場のマシンから、nmap を起動する。
$ su
# nmap -v -O 219.165.234.137     (OS判定させてみる)
たいした返答が無い。
パーソナルファイアウォールを使っていれば、返答無しなのもあたりまえ。
# nmap -v -sP 219.165.234.137/24    (同一セグメント内の複数マシンに ping をかける)
ポツポツと返答のあるマシンと返答の無いマシンが混在している。
この雰囲気から、プロバイダが一般ユーザに割り振っている空間のような...

nmap のセグメントを 24 から少しづつ 23,22 と広げていくと、幾つかのマシンから HTTP ポートが開いているのが観測できたので、ブラウザで見てみる。 1つは、 明らかに Apache が動いている。 わざと変な URL を与えてエラーをだすと、
# Apache/1.3.33 Server at kasaisugurutamotsunokonpyuta.local Port 80
との表示。 2つめは、ルータの認証画面がでる。 他は、画面に何も表示されない。アクセス制限付きのルータであろう。 ということで、219.165.234.137 は、一般ユーザのマシンであり、サーチエンジン系のクローラ では無いと思われる。

Google 検索

My Google   Yahoo

Microsoft

ファンサイト