#原因判明 #DoS 攻撃が多い、#504エラー でDBがスタック #plugin 注意
1.はじめに
昨日、DoS攻撃について記述しましたが、エラーログを分析して、原因が判明しました。困った時は参考にしてください。
2.内容
(1)故障状況
時間は不定ですが、早朝から午前中が多い感じ、毎日朝テストしてタイムアウト、504エラー
(2)切り分けと対処
切り分けでpypmyadminの状態>セッションを見ると、同時接続;max151または66でスタっく。個別にkillしても反応しない。
mysqlを停止して、再起動し回復。5分位で回復
(3)分析
エラーログから特定のIPからのDoS攻撃の模様
◎特定のpluginに対してDoS攻撃、SQLインジェクションが判明
ーーーーーーーーーーーーコンタクトフォーム例、1秒間に何回も攻撃
Tue Mar 28 15:21:28.998126 2023] [cgi:error] [pid 359632] [client 3.70.24.21:36856] AH01215: PHP Fatal error: Uncaught Error: Failed opening required '/usr/home/xxxx/www/htdocs/wordpress/wp-content/plugins/contact-form-7/includes/swv/swv.php' (include_path='.:/usr/local/php-8.1/lib/php') in /usr/home/xxxx/www/htdocs/wordpress/wp-content/plugins/contact-form-7/load.php:12
ーーーーーーーーーーーーー
(4)DoS攻撃元
・181.117.240.43 host43.181-117-240.telmex.net.ar アルゼンチン
・172.105.216.226 172-105-216-226.ip.linodeusercontent.com 国不明
・3.70.14.61 ec2-3-70-14-61.eu-central-1.compute.amazonaws.com US
◎3.70.24.21 ec2-3-70-24-21.eu-central-1.compute.amazonaws.com US 追加
(5)対策
・一応上記IPを規制。しばらく様子見とDBのセッションを適宜確認、その後解除。たぶん踏み台
◎特定のpluginを無効に、問い合わせフォームとソーシャルメディア連携用plugin
ーーーーーーーーーーーーーー
contact-form-7 停止
ultimate-social-media-icons 停止
so-widgets-bundle 停止
ーーーーーーーーーー
(6)その後の経過
・特にスタックは発生していない。
3.問い合わせ先
当社の強み
・無線LANの専門調査会社として、セキュリティから電波までの無線LANの専門性を強みとしております。
・無線歴35年、SI歴25年の専門家が対応します。
・自社所有の測定ツール(Linux,スペアナ、電波診断ツール、セキュリティ診断ツール、トラヒック診断ツール)により迅速に対応します。
スペクトラム・テクノロジー株式会社
https://spectrum-tech.co.jp
電話:04-2990-8881
email:sales1@spectrum-tech.co.jp
担当:村上