こんにちは。

　こちら、ほぼほぼ個人的備忘です。

 

　実は当方、こちらのブログとは別名義にてとあるwebサーバの運営をしているのですが、ついさっきアクセスログを確認してみたところ、使っていないはずのhttpポートへのアクセスがあったので、勉強がてら調査してみました（普段はhttpsプロトコルを使用して、自作掲示板や仮想通貨の自動売買の結果などを表示しています）。

※使用OSはRHEL系のLinux

 

　ファイルの出力は以下のような感じ。

　クローラ等、ボットからのアクセスを疑ったけれど、にしては頻度が高いようにも思えます。

　何者だ？

 

　余り詳しくは公開できないけれど、直近のログは以下のような感じ。当然身に覚えのないipからのアクセスばかり。

　赤枠部は如何にもボットによるログだが、他もクローラやセキュリティスキャナの残していったログが大部だと思います。（不正アクセスしようとしてる雰囲気のログもあるね！）

（ちなみに、セキュア側のアクセスログもおおむね似たり寄ったりだった。ユーザーからの通常のアクセスがあったり、認証系のログも出力している関係から、スクショ掲載は差し控えたい）

 

　それと、念のため、悪意あるアクセス履歴がないかも確認してみました。

　ここでは参考として、ログ出力dirで下記のようにコマンド実行し、DB関係の怪しいログを調査。

 

# less -q * | grep -i maria

 

　と、不穏なログがいっぱい出る出るΣ（・□・；）

　けど、セキュリティ上の懸念からこちらの掲載も差し控えます。

　ざっくり説明すると、envファイルやDB確認用webツールのパスを探したりしているようでした。特に後者についてはデフォルト設定は避けた方が良いことがよくわかった。

 

　また、当webサイト、ウェブアーカイバにもアーカイブされているようだったので、どんなアクセスログが残っているのか純粋な技術的興味で見てみようとしたのですが……ログのローテーションで消えていました😢

　ローテの期間をチューニングした方がよさそうですね。

結論

　デフォルト設定は可能な限り避けるべき

 

　しかし、最近になってアクセスが増えたのは何故だろう……これについては謎のママです。まだまだ調査が甘い感は否めませんが、これ以上続ける元気もやる気もないので放置。

　あと、最初に述べた仮想通貨自動売買についても、時間があれば取り上げたいと思います。が、こちらもやる気欠乏につきいつやるかは謎。チャートや分析の結果は自動出力して保存してあるので、それだけでも簡単にお目にかけるかもしれません。

 

でハ又。ﾉｼ