当サイトではエックスサーバー
を使っているのですが、サーバーパネルからエラーログを確認したら、こういった長文のエラーがたくさん来ていました。
冒頭。
[proxy_fcgi:error] [pid 6898:tid 140406601602816] [client 13.66.139.104:42590] AH01071: Got error 'PHP message:
その後には文字化けのような文章。
WordPress \xe3\x83\x87\xe3\x83\xbc\xe3\x82\xbf\xe3\x83\x99\xe3\x83\xbc\xe3 \x82\xb9\xe3\x82\xa8\xe3\x83\xa9\xe3\x83\xbc:
「\x」を「%」に置き換えて(%e3%83%87%e3%83%bc%e3%82%bf%e3%83%99%e3%83%bc%e3%82%b9%e3%82%a8%e3%83%a9%e3%83%bc:)、解読(デコード)できるサイトで変換したら「データベースエラー」となりました。
その後にはこのような文字列が続きます。「%f0%9f%92%a3」は「…†」になる模様。意味分からん!
\xf0\x9f\x92\xa3 www.LloydsPharmacy.xyz \xf0\x9f\x92\xa3 Cheap Pharmacy
「www.LloydsPharmacy.xyz」はどう見ても「どこかのサイトだな」と思いコピペで開くと「dr-cheap.com」や「anonympharmacy.com」といったアレレなクスリ屋さんに飛ばされました。
サーバーに問い合わせ
エラーログには「wp_posts」などと書いてあるし、最近ブルーフォースアタックが多いので「このままだと乗っ取られるかも」と妙に不安になりエックスサーバー
に聞いてみました。
結論を短く言うと「リファラスパムなのでアクセス元であるIPアドレスを拒否設定してください」とのことでしたので早速拒否しました。
リファラスパムの影響
スパムサイトにアクセスさせられる
リファラスパムの目的はこれ。私もついつい引っかかって検索してしまいました。
アクセス解析への影響
Googleアナリティックスの場合は「管理→ビュー設定」にある「既知のボットやスパイダーからのヒットを全て除外します」にチェックを入れて「保存」をクリック。
それと、スパムは海外が多いので解析を国内限定にします。「管理→フィルター」をクリック。
「フィルタを追加」をクリック。
自分で分かりやすいフィルタ名を付けて「カスタム→一致→国→Japan」で「保存」をクリック。
IPアドレス拒否は一応した方が良い
試しに「Best online Pharma」をググったらこのように表示されました。
試しにクリックしてみたら明らかに変な感じ。
悪意のあるコードが埋め込まれていたり、スパムサイトの踏み台になってしまう場合も絶対にないとは言えないので、気が向いた時にでもサーバーのエラーログを開いてIP拒否をすると良いです。
◆特定のサイトを.htaccessでアクセス拒否【IP&ドメイン】
エックスサーバーの場合は、「サーバーパネル→アクセス拒否設定」から拒否するIPアドレスを入力して「確認」→「設定」します。
今回拒否したIP
msnbot
アメリカ:シアトル
msnbot-IPアドレス.search.msn.com
- 13.66.139.75
- 13.66.139.80
- 13.66.139.83
- 13.66.139.92
- 13.66.139.103
- 13.66.139.104
- 13.66.139.131
- 40.77.167.57
- 157.55.39.61
- 157.55.39.163
- 207.46.13.17
- 207.46.13.104
OVH Hosting, Inc
Canada Montreal
ns516525.IPアドレス.net
- 167.114.211.237
googlebot.com
アメリカ合衆国 カンザス州 crawl-IPアドレス.googlebot.com
- 66.249.68.52(※後日解除)
- 66.249.68.56(※後日解除)
「googlebot」と書かれてありますが、ユーザーエージェント名(UA名)は偽造できるし…どうなんでしょうね。
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
hosted.static.webnx.com
アメリカ。
- 173.231.59.205(※CIDR:173.231.0.0/185)
petalsearch.com
中国Huaweiの検索エンジン。
- 114.119.150.126
今度は「petalbot」を拒否しなきゃいけないのかよ…
petalbot-114-119-150-126.petalsearch.com
※アクセス拒否を行うことによりエラーログが表示される場合があります
でもあまり気にしなくても良いかも
矛盾していますが、リファラーの割合が低い場合はそれほど気にしなくても良いんじゃないかと思います。当サイトは全体の2.19%、海外の割合は全体の1.2%に過ぎませんでした。
それに、IPアドレスをブロックしても「待ってました」とばかりに次から次へとわいてくるのでキリがないです。時々エラーログを見てIP拒否をすれば良いかと。個人的にはSQLインジェクションの方が怖いです。