163data.com.cnを拾ってみた

boota Software、コマンド他Linux

ログローテーションしているので全てではありませんが、現在ログに記録されている163data.com.cnからのアクセスをgrepで拾ってみました。
ついでに、重複しているものは省いてみました。

access_log〜access_log.4までで、とりあえずこれだけ(重複分は見落としがあるかも知れません)。
また、全て取り出したままのIPアドレス(と思われる4オクテット)で、お尻にはbroad.**.**.dynamic.163data.com.cnがくっつきます。

173.250.77.222
208.226.19.218
32.34.84.110
181.63.232.221
188.123.60.59
95.33.154.61
235.33.48.58
147.23.174.59
151.215.57.59
102.147.48.59
121.139.58.59
20.199.77.222
111.44.67.218
7.23.89.125
138.165.36.120
48.197.205.121
133.250.234.114
112.138.40.120
67.250.205.121
12.34.48.58
221.101.136.219
185.62.232.221
114.32.48.58
105.56.232.221
30.21.174.59
149.202.26.117
102.21.174.59
212.192.82.117
67.255.26.117
181.53.232.221
187.205.57.59
102.194.223.114
130.142.85.218
169.105.60.59
58.32.48.58
85.55.232.221
64.58.232.221
116.23.174.59
216.224.77.222
58.34.48.58
216.224.77.222
51.59.232.221
249.61.232.221
186.21.174.59
197.107.60.59
241.59.232.221
22.32.48.58
167.57.232.221
55.58.232.221
144.32.48.58
14.244.73.218
180.84.184.123
140.108.90.110
202.59.232.221
38.55.232.221
80.23.174.59
38.55.232.221
125.35.48.58
62.61.232.221
4.56.232.221
247.21.174.59
150.61.232.221
125.60.232.221
114.60.232.221

なるほどこうやってみると、確かにこの並びで第四オクテットの数字は比較的同じ数字が並びますねー。以前入手した情報では、このIPアドレスのような数字の羅列は、それぞれのオクテットを逆に並び替えなければIPアドレスにならないということでしたが、納得できます(過去記事参照)。

ところでたとえば「*.163data.com.cn」でアクセス拒否をしても効果が得られないという話も聞きましたが、その辺も含めてまずは実験してみようかと思っています。

実験結果などもおいおいBLOGで公開していこうと思っています。
今日は単純にアクセスログからの情報抽出ということで。

boota

いろんなモノに、いろんな意味で、ヲタ。なのかも?

「163data.com.cnを拾ってみた」への2件のフィードバック

  1. はじめまして。同じ問題に悩まされています。検索で調べてここにたどり着きました。うちのサイトでは特にHTMLのサイズが大きいページを狙って、GET / POSTを繰り返し、多数のサーバーから最大20回/分の頻度でアクセスしてきます。被害が出だしたのはこの1週間位です。対策としてPOSTを禁止し、当該IPをブロックし、エラー表示を外部ページに飛ばしたところ、21回/時まで減りましたがまだ続いています。
    【Apacheの設定】
    http://neotechlab.bbs.fc2.com/
    そちらはまだ、アクセスが続いていますか?

    返信

    1. Tomoaki Ueda さま
      はじめまして!
      バイクのグリップ交換関連で検索して訪れてくださる方は何気に結構いらっしゃるのですが、PC関係の話題で来ていただけたなんて、うれしい限りです。

      さて、件の163data.com.cnですが、私も始めはアクセスログからip addressを引っ張り出して、iptables(私はhttpd.confではなくiptablesで対応しました)に書き込んでいく、という方法をとっていました。
      これでも一時的には解決で来ていたのですが、その結果163data.com.cn以外からのスパムアクセスが相対的に増えてしまいまして・・・(^-^;;

      というわけで、私は現在cidr.txtからスパムアクセスが頻繁にある国コードに割り当てられるip address(ネットワークアドレス)をすべて遮断する、という方法を取っています(したがって現在うちのサーバに、中国からのアクセスはログ上はありません)。
      自分のBLOGへのレスで細かく書くのも何ですので、後ほどTomoaki Ueda さまの掲示板に大まかな対策を書き込みに伺いますね。

      セキュリティ対策は総合格闘技みたいなもので、一つの対策だけでは決して充分な対策とはならない、とどこかで見た記憶があります。
      お互いに、総合的な対策で乗りきりましょうね!

      返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)