不正な大量アクセスの対処法をアドバイスください。

VPSサーバで複数ドメインを運用中です。
少し前から大量のアクセスが流れてくるようになりました。
access_log には以下のようなアクセスだらけです。

112.***.***.*** - - [04/Oct/2013:08:31:45 +0900] "POST / HTTP/1.1" 200 11480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

ログでは、IPアドレスだけが違い、あとは同じアクセスです。
IPは広範囲で違うものになってるのでIPを個別に遮断するのもし難い状況です。
同じIPが間を空けてアクセスしてる場合もあります。

上記ログファイルだと、POST送信をされてるようなのですが、
どこにPOST送信してるのかがわかりません。
ログイン画面等は複数ありますが、フォルダ名を変えても状況は変わらずです。
サーバ内には個人情報は無いしDBも使ってません。

VPS会社に問い合わせはしてますが、root権限をもらっているので
手厚いサポートは期待出来ずです。
大量アクセスの為サービスが正常に動きません。

何か不正なサービスにひっかかった各地のPCが自動的にアクセスを
してるのではないか?と思うのですが、どのように対処すればいいでしょうか?
IPひとつずつ拾って遮断するしかないでしょうか?

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2013/10/04 16:03:10
  • 終了:2013/10/07 10:10:43

ベストアンサー

id:rx7 No.2

Y.Namikawa / id:rx7回答回数38ベストアンサー獲得回数92013/10/05 13:12:37

ポイント50pt

Apacheではじく設定を入れても、アクセスログには変わらず出力され続けます。

そこで、確認なのですが、

112.***.***.*** - - [04/Oct/2013:08:31:45 +0900] "POST / HTTP/1.1" 200 11480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"


元々、↑のようなログだったと思いますが、"POST / HTTP/1.1"の横の200という数字が、403とかに変わっていないでしょうか?
403はリソースにアクセスできる権限がない、と通知していることを意味するため、実質、門前払いをしていることになります。

ご確認くださいませ。

id:cafet

度々ありがとうございます。
私の勘違いで実際はサーバー内の仮想サイトの1つにアクセスが集中している事がわかり、
そのサイトにhtaccessを置いたところご指摘のようにログは403になり、
リソースの消費も減り、各サービスが正常に動くようになりました。
その仮想サイトをどうするか課題が残りますが、
おかげさまで原因がわかり解決もして
今回ご回答本当にありがとうございます、大変感謝します。

2013/10/07 10:10:08

その他の回答(1件)

id:rx7 No.1

Y.Namikawa / id:rx7回答回数38ベストアンサー獲得回数92013/10/04 16:16:31

ポイント50pt

ログを見る限り、"/"に対してPOSTで送信しているように見受けられるので、
"/"にPOST送信されることを想定されていないのでしたら、

"/"に対するPOSTメソッドでのアクセス

に制限をかけられるとよろしいかと思います。

例えば、お使いのWebサーバが、Apacheでしたら、
インターネット上に制限を書ける設定例が、いくつも出てきますので、
簡単に設定できるかと思います。

Apacheだと、確認はしていないですが、おそらくLocationMatchとLimitとかの組み合わせでいけそうだと思います。
あくまで、"/"だけに制限するよう注意が必要ですが。("/hoge~"とかが対象にならないよう)

id:cafet

質問者から

cafet2013/10/05 05:37:00

ありがとうございます。apacheです。もう少しだけよろしいでしょうか。
IPアクセスとドメインアクセスどちらできてるかと思いメインドメインのDNSをまったく別なところに向けても何も変わらなかったのでIPアクセスで来てると判断して、IPアクセスのドキュメントルートにhtaccessで
order allow,deny
deny from all
としてみたところ、ブラウザアクセスは出来なくなったもののアクセスログには変わらずPOSTが来てました。htaccessではダメなんでしょうか?
LocationMatch等がさっと調べた程度だとよくわからず...

id:rx7 No.2

Y.Namikawa / id:rx7回答回数38ベストアンサー獲得回数92013/10/05 13:12:37ここでベストアンサー

ポイント50pt

Apacheではじく設定を入れても、アクセスログには変わらず出力され続けます。

そこで、確認なのですが、

112.***.***.*** - - [04/Oct/2013:08:31:45 +0900] "POST / HTTP/1.1" 200 11480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"


元々、↑のようなログだったと思いますが、"POST / HTTP/1.1"の横の200という数字が、403とかに変わっていないでしょうか?
403はリソースにアクセスできる権限がない、と通知していることを意味するため、実質、門前払いをしていることになります。

ご確認くださいませ。

id:cafet

度々ありがとうございます。
私の勘違いで実際はサーバー内の仮想サイトの1つにアクセスが集中している事がわかり、
そのサイトにhtaccessを置いたところご指摘のようにログは403になり、
リソースの消費も減り、各サービスが正常に動くようになりました。
その仮想サイトをどうするか課題が残りますが、
おかげさまで原因がわかり解決もして
今回ご回答本当にありがとうございます、大変感謝します。

2013/10/07 10:10:08

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません