どんな検索用語でこのサイトに来ているのかとGoogleAnalyticsを見てみたら、一番多かった用語が「post_ip_port.php」だった。
なんだこれ?っとおもっていたら、VPSサーバーで海外からの不正アクセスを全て遮断する で書いてた不正アクセスログの文章の一部だった。
あー、やっぱ気になりますよね。リファラーにも出てくるんですが、なぜかリクエストURIの方にそのまま「/123.249.24.233/POST_ip_port.php」が出てくるので、すごく気持ちが悪い。僕も気になりましたその時は。
でも、海外からのアクセス遮断してからは、一つもログには現れてこなかったので、今まで存在を忘れてました。
ちょっと、調べてみたら、日本でこのことに対して書かれている方はいない。
また、英語圏の人も掲示板で質問している方がいましたが、だれも原因やこれがなんなのかハッキリとはわかっていないようです。
どうも今年の5月あたりから沢山の人のアクセスログに出てきているようですね。
まあ、URLのIP部分を調べたら「中国」だし、POST_ip_port.php というファイル名から連想するにポートスキャンでもしようとしているのかな?
どちらにせよ、このアドレスは踏まない方がいいし、ブロックするべきだろう。
この不正アクセス元のIPを抽出すると、以下の二つからアクセスされていたので、この二つをブロックしつつ、POST_ip_port.phpをリクエストしてくるアクセスを403 Forbiddenにする。
.htaccess に以下の記述を追記。
# 不正アクセスIPを拒否
order allow,deny
allow from all
deny from 222.186.129.5
deny from 222.186.30.211
# リクエストURIにPOST_ip_port.phpが含まれている場合は遮断
RewriteEngine On
RewriteCond %{REQUEST_URI} "POST_ip_port.*"
RewriteRule ^(.*)$ - [F,L]
一応、このように対応しました。今のところ大丈夫なようです。
