当サイトにもリファラースパムがやってきたのでIPアドレス拒否



当サイトではエックスサーバーを使っているのですが、サーバーパネルからエラーログを確認したら、こういった長文のエラーがたくさん来ていました。

冒頭。

[proxy_fcgi:error]
[pid 6898:tid 140406601602816]
[client 13.66.139.104:42590] 
AH01071: Got error 'PHP message:

その後には文字化けのような文章。

WordPress
\xe3\x83\x87\xe3\x83\xbc\xe3\x82\xbf\xe3\x83\x99\xe3\x83\xbc\xe3
\x82\xb9\xe3\x82\xa8\xe3\x83\xa9\xe3\x83\xbc:

「\x」を「%」に置き換えて(%e3%83%87%e3%83%bc%e3%82%bf%e3%83%99%e3%83%bc%e3%82%b9%e3%82%a8%e3%83%a9%e3%83%bc:)、解読(デコード)できるサイトで変換したら「データベースエラー」となりました。

その後にはこのような文字列が続きます。「%f0%9f%92%a3」は「…†」になる模様。意味分からん!

\xf0\x9f\x92\xa3
www.LloydsPharmacy.xyz
\xf0\x9f\x92\xa3
Cheap Pharmacy

www.LloydsPharmacy.xyz」はどう見ても「どこかのサイトだな」と思いコピペで開くと「dr-cheap.com」や「anonympharmacy.com」といったアレレなクスリ屋さんに飛ばされました。

サーバーに問い合わせ

エラーログには「wp_posts」などと書いてあるし、最近ブルーフォースアタックが多いので「このままだと乗っ取られるかも」と妙に不安になりエックスサーバーに聞いてみました。

結論を短く言うと「リファラスパムなのでアクセス元であるIPアドレスを拒否設定してください」とのことでしたので早速拒否しました。

リファラスパムの影響

スパムサイトにアクセスさせられる

リファラスパムの目的はこれ。私もついつい引っかかって検索してしまいました。

アクセス解析への影響

Googleアナリティックスの場合は「管理→ビュー設定」にある「既知のボットやスパイダーからのヒットを全て除外します」にチェックを入れて「保存」をクリック。

それと、スパムは海外が多いので解析を国内限定にします。「管理→フィルター」をクリック。

「フィルタを追加」をクリック。

自分で分かりやすいフィルタ名を付けて「カスタム→一致→国→Japan」で「保存」をクリック。

IPアドレス拒否は一応した方が良い

試しに「Best online Pharma」をググったらこのように表示されました。

試しにクリックしてみたら明らかに変な感じ。

悪意のあるコードが埋め込まれていたり、スパムサイトの踏み台になってしまう場合も絶対にないとは言えないので、気が向いた時にでもサーバーのエラーログを開いてIP拒否をすると良いです。

◆特定のサイトを.htaccessでアクセス拒否【IP&ドメイン】

エックスサーバーの場合は、「サーバーパネル→アクセス拒否設定」から拒否するIPアドレスを入力して「確認」→「設定」します。

今回拒否したIP

msnbot

アメリカ:シアトル
msnbot-IPアドレス.search.msn.com

  • 13.66.139.75
  • 13.66.139.80
  • 13.66.139.83
  • 13.66.139.92
  • 13.66.139.103
  • 13.66.139.104
  • 13.66.139.131
  • 40.77.167.57
  • 157.55.39.61
  • 157.55.39.163
  • 207.46.13.17
  • 207.46.13.104

OVH Hosting, Inc

Canada Montreal
ns516525.IPアドレス.net

  • 167.114.211.237

googlebot.com

アメリカ合衆国 カンザス州 crawl-IPアドレス.googlebot.com

  • 66.249.68.52(※後日解除)
  • 66.249.68.56(※後日解除)

「googlebot」と書かれてありますが、ユーザーエージェント名(UA名)は偽造できるし…どうなんでしょうね。

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

hosted.static.webnx.com

アメリカ。

  • 173.231.59.205(※CIDR:173.231.0.0/185)

petalsearch.com

中国Huaweiの検索エンジン。

  • 114.119.150.126

今度は「petalbot」を拒否しなきゃいけないのかよ…

petalbot-114-119-150-126.petalsearch.com

※アクセス拒否を行うことによりエラーログが表示される場合があります

.htaccessでbotクローラーのアクセスを拒否

でもあまり気にしなくても良いかも

矛盾していますが、リファラーの割合が低い場合はそれほど気にしなくても良いんじゃないかと思います。当サイトは全体の2.19%、海外の割合は全体の1.2%に過ぎませんでした。

それに、IPアドレスをブロックしても「待ってました」とばかりに次から次へとわいてくるのでキリがないです。時々エラーログを見てIP拒否をすれば良いかと。個人的にはSQLインジェクションの方が怖いです

Webサイトの脆弱性診断なら【SiteLock(サイトロック)】