当サイトではエックスサーバーを使っているのですが、サーバーパネルからエラーログを確認したら、こういった長文のエラーがたくさん来ていました。
冒頭。
[proxy_fcgi:error] [pid 6898:tid 140406601602816] [client 13.66.139.104:42590] AH01071: Got error 'PHP message:
その後には文字化けのような文章。
WordPress \xe3\x83\x87\xe3\x83\xbc\xe3\x82\xbf\xe3\x83\x99\xe3\x83\xbc\xe3 \x82\xb9\xe3\x82\xa8\xe3\x83\xa9\xe3\x83\xbc:
「\x」を「%」に置き換えて(%e3%83%87%e3%83%bc%e3%82%bf%e3%83%99%e3%83%bc%e3%82%b9%e3%82%a8%e3%83%a9%e3%83%bc:)、解読(デコード)できるサイトで変換したら「データベースエラー」となりました。
その後にはこのような文字列が続きます。「%f0%9f%92%a3」は「…†」になる模様。意味分からん!
\xf0\x9f\x92\xa3 www.LloydsPharmacy.xyz \xf0\x9f\x92\xa3 Cheap Pharmacy
「www.LloydsPharmacy.xyz」はどう見ても「どこかのサイトだな」と思いコピペで開くと「dr-cheap.com」とかいうアレレなクスリ屋さんに飛ばされました。
サーバーに問い合わせ
エラーログには「wp_posts」などと書いてあるし、最近ブルーフォースアタックが多いので「このままだと乗っ取られるかも」と妙に不安になりエックスサーバーに聞いてみました。
結論を短く言うと「リファラスパムなのでアクセス元であるIPアドレスを拒否設定してください」とのことでしたので早速拒否しました。
IPアドレスを拒否する方法
◆特定のサイトを.htaccessでアクセス拒否【IP&ドメイン】
エックスサーバーの場合は、「サーバーパネル→アクセス拒否設定」から拒否するIPアドレスを入力して「確認」→「設定」します。
今回アクセス拒否したIP
msnbot
アメリカ:シアトル
msnbot-IPアドレス.search.msn.com
- 13.66.139.75
- 13.66.139.80
- 13.66.139.83
- 13.66.139.92
- 13.66.139.103
- 13.66.139.104
- 13.66.139.131
- 157.55.39.61
- 207.46.13.17
- 207.46.13.104
OVH Hosting, Inc
Canada Montreal
ns516525.IPアドレス.net
- 167.114.211.237
googlebot.com
アメリカ合衆国 カンザス州 チーニー貯水池
crawl-IPアドレス.googlebot.com
- 66.249.68.52(※後日解除)
- 66.249.68.56
「googlebot」と書かれてありますが、ユーザーエージェント名(UA名)は偽造できるし…どうなんでしょうね。
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
※アクセス拒否を行うことによりエラーログが表示される場合があります
アクセス拒否はした方が良さそう
「Best online Pharma」をググったら検索結果はこのように表示されました。いかにも怪しい。
試しにクリックしてみた。
「リファラスパムを放置しておくと良くなさそう」ということが良く分かりました。
