当サイトにもリファラースパムがやってきたのでIPブロックしました

当サイトではエックスサーバーを使っているのですが、サーバーパネルからエラーログを確認したら、こういった長文のエラーがたくさん来ていました。

冒頭。

[proxy_fcgi:error]
 [pid 6898:tid 140406601602816]
 [client 13.66.139.104:42590] 
AH01071: Got error 'PHP message:

その後には文字化けのような文章。

WordPress
\xe3\x83\x87\xe3\x83\xbc\xe3\x82\xbf\xe3\x83\x99\xe3\x83\xbc\xe3
\x82\xb9\xe3\x82\xa8\xe3\x83\xa9\xe3\x83\xbc:

「\x」を「%」に置き換えて(%e3%83%87%e3%83%bc%e3%82%bf%e3%83%99%e3%83%bc%e3%82%b9%e3%82%a8%e3%83%a9%e3%83%bc:)、解読(デコード)できるサイトで変換したら「データベースエラー」となりました。

その後にはこのような文字列が続きます。「%f0%9f%92%a3」は「…†」になる模様。意味分からん!

\xf0\x9f\x92\xa3
www.LloydsPharmacy.xyz
\xf0\x9f\x92\xa3
Cheap Pharmacy

www.LloydsPharmacy.xyz」はどう見ても「どこかのサイトだな」と思いコピペで開くと「dr-cheap.com」とかいうアレレなクスリ屋さんに飛ばされました。

サーバーに問い合わせ

エラーログには「wp_posts」などと書いてあるし、最近ブルーフォースアタックが多いので「このままだと乗っ取られるかも」と妙に不安になりエックスサーバーに聞いてみました。

結論を短く言うと「リファラスパムなのでアクセス元であるIPアドレスを拒否設定してください」とのことでしたので早速拒否しました。

IPアドレスを拒否する方法

◆特定のサイトを.htaccessでアクセス拒否【IP&ドメイン】

エックスサーバーの場合は、「サーバーパネル→アクセス拒否設定」から拒否するIPアドレスを入力して「確認」→「設定」します。

今回アクセス拒否したIP

msnbot

アメリカ:シアトル
msnbot-IPアドレス.search.msn.com

  • 13.66.139.75
  • 13.66.139.80
  • 13.66.139.83
  • 13.66.139.92
  • 13.66.139.103
  • 13.66.139.104
  • 13.66.139.131
  • 157.55.39.61
  • 207.46.13.17
  • 207.46.13.104

OVH Hosting, Inc

Canada Montreal
ns516525.IPアドレス.net

  • 167.114.211.237

googlebot.com

アメリカ合衆国 カンザス州 チーニー貯水池
crawl-IPアドレス.googlebot.com

  • 66.249.68.52(※後日解除)
  • 66.249.68.56

「googlebot」と書かれてありますが、ユーザーエージェント名(UA名)は偽造できるし…どうなんでしょうね。

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

※アクセス拒否を行うことによりエラーログが表示される場合があります

アクセス拒否はした方が良さそう

Best online Pharma」をググったら検索結果はこのように表示されました。いかにも怪しい。

試しにクリックしてみた。

「リファラスパムを放置しておくと良くなさそう」ということが良く分かりました。

.htaccessでbotクローラーのアクセスを拒否

タイトルとURLをコピーしました