今日の4時位から MRTG のモニタで、ネットワーク速度・CPU負荷などに軒並み 異常なトラヒックが入っている。top でプロセスを見ると、Web サーバの負荷が 見えた。アクセス履歴をみると、以下のようなアクセスがずーっと続いている。
219.165.234.137 - - [27/Jun/2006:22:47:58 +0900] "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319 "http://tsaitoh.net/~mitsuki/diary/index.cgi" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)" 219.165.234.137 - - [27/Jun/2006:22:48:01 +0900] "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319 "http://tsaitoh.net/~mitsuki/diary/index.cgi" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)" 219.165.234.137 - - [27/Jun/2006:22:48:03 +0900] "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319 "http://tsaitoh.net/~mitsuki/diary/index.cgi" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)" 219.165.234.137 - - [27/Jun/2006:22:48:04 +0900] "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319 "http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)" 219.165.234.137 - - [27/Jun/2006:22:48:05 +0900] "POST /~mitsuki/diary/index.cgi HTTP/1.0" 200 12319 "http://tsaitoh.net/~mitsuki/diary/index.cgi" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)" 219.165.234.137 - - [27/Jun/2006:22:48:05 +0900] "GET /~mitsuki/diary/?200506#200506170200506170200506080200506180200506300 HTTP/1.0" 200 12764 "http://tsaitoh.net/~mitsuki/diary/?200506#200506170200506170200506080#200506180" "Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)"
逆引すると i219-165-234-137.s06.a014.ap.plala.or.jp.
異常アクセス元は、219.165.234.137 からのみ。 逆引結果は、i219-165-234-137.s06.a014.ap.plala.or.jp. 日記のページをクロールしている途中で、相手が暴走しているような雰囲気。 ひとまずは、ルータのアクセスフィルタで 219.165.234.137 だけのアクセス制限を施す。 ページへのアクセスだし、apache 側での制限も考えるが、アクセス履歴書き込み負荷 も残るだろうし、ルータ制限が確実。
UserAgent が MSIE4.0; Windows NT ってなっているが、こんなの残っているのか?
今日は天気も曇なのに、今期最初の『サーバ CPU 温度 66℃越え』の警告が 出ていたが、この負荷の影響も大きいと思われる。
nmap 探査
追記:
相手の探索には、unix では nmap が便利。ということで、
自宅では、ルータでアクセス制限してしまったので、職場のマシンから、nmap を起動する。 $ su # nmap -v -O 219.165.234.137 (OS判定させてみる) たいした返答が無い。 パーソナルファイアウォールを使っていれば、返答無しなのもあたりまえ。 # nmap -v -sP 219.165.234.137/24 (同一セグメント内の複数マシンに ping をかける) ポツポツと返答のあるマシンと返答の無いマシンが混在している。 この雰囲気から、プロバイダが一般ユーザに割り振っている空間のような...
nmap のセグメントを 24 から少しづつ 23,22 と広げていくと、幾つかのマシンから HTTP ポートが開いているのが観測できたので、ブラウザで見てみる。 1つは、 明らかに Apache が動いている。 わざと変な URL を与えてエラーをだすと、
# Apache/1.3.33 Server at kasaisugurutamotsunokonpyuta.local Port 80
との表示。 2つめは、ルータの認証画面がでる。 他は、画面に何も表示されない。アクセス制限付きのルータであろう。 ということで、219.165.234.137 は、一般ユーザのマシンであり、サーチエンジン系のクローラ では無いと思われる。