Soukaku's HENA-CHOKO Blog

  • Home
  • Computer
  • Network
  • 目的の判らんhttpアクセスが有ったので、403を返すようにしてみた

目的の判らんhttpアクセスが有ったので、403を返すようにしてみた

先月の中ぐらいから、急にWebアクセスが増えてきて「おっかしいなぁ〜」と思い、ログを漁ってみたら

2620:108:700f::3270:2868 - - [03/Mar/2013:07:42:28 +0900] "GET / HTTP/1.1" 200 13416 "-" "curl/7.24.0 (i386-redhat-linux-gnu) libcurl/7.24.0 NSS/3.12.10.0 zlib/1.2.3 libidn/1.18 libssh2/1.2.2"
2400:6700:ff00::36f9:bfad - - [03/Mar/2013:07:43:31 +0900] "GET / HTTP/1.1" 200 13416 "-" "curl/7.24.0 (x86_64-redhat-linux-gnu) libcurl/7.24.0 NSS/3.12.10.0 zlib/1.2.3 libidn/1.18 libssh2/1.2.2"

とか

198.204.227.26 - - [03/Mar/2013:11:21:00 +0900] "GET / HTTP/1.0" 200 13435 "https://www.downtown.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows ME) Opera 7.11  [en]"
198.204.226.250 - - [03/Mar/2013:11:24:16 +0900] "GET /bbs/index.cgi?mode=allread&pastlog=0057&no=3290&page=0&act=past HTTP/1.0" 200 6608 "https://www.downtown.jp/bbs/index.cgi?mode=allread&pastlog=0057&no=3290&page=0&act=past" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; T312461)"

というのが、アクセスが増えた原因というのが判った。


クライアントが"curl"と言っている方は、Amazonに割り当てられたIPv6アドレスプロックからで、もう一方はDataHackというデータセンターサービスをやっているアメリカの会社に割り当てられているアドレスブロックからのアクセス。
アクセスのされ方や、ログに出ているUserAgentからもクローラでないし、アクセスの目的がよく判らないんで、Apacheでアクセス拒否するように設定してみた。

/etc/apache2/conf.d配下に、

nexus01:~# more /etc/apache2/conf.d/deny_from.conf
<Location />
	# Amazon.com
	Deny	from 2400:6500::/32
	Deny	from 2400:6700::/32
	Deny	from 2406:da00::/32
	Deny	from 2620:107:3000::/44
	Deny	from 2620:108:7000::/44
	Deny	from 2a01:578::/32
	# GEORGETOWN-UNIVERSITY
	Deny	from 2620:107::/40
	# from datahack
	Deny	from 198.204.224.0/19
	#Allow	from all
</Location>

という、設定を書いたファイルを置いて、apache再起動で対処完了。
ログに残っていたIPアドレスをブロック単位で、バッサリ制限してますが、アクセス元がアクセス元(人間が見ているわけでは無さそう)なので、おそらく問題はないでしょう。
#Amazonからのアクセスと似たパターンで大学に割り当てられているv6アドレスからのアクセスもあったので、そっちも制限したけど。

トラックバック(0)

コメントする