compute.amazonaws.comからの大量スパムアクセスをブロック
2週間ほど前から管理する2つのサイトのアクセス数が急増しました。アクセス元を見てみると検索エンジンや特定のサイトからの流入ではありません。
参照元を見ると「(direct) / (none)」が検索エンジンからのアクセスよりも多い状態です。
「チャネル ⇒ Direct ⇒ ランディングページ」を見ると、特定のページではなく、100ページぐらいにアクセスしていました。
時間別グラフを見ると特定の時間にアクセスが集中していました。
変なアクセスが増える前と後を時間別グラフで見るとこのようになっています。
0時から徐々にアクセス増え、10時頃をピークにアクセスが減ります。ピークは日によって変わることもあります。
しばらく様子を見ていたのですが、毎日同じような時間帯に大量のアクセスがあり、収まりそうもなかったので、サーバーのアクセス解析をインストールしました。
GoogleアナリティクスではIPアドレスが確認できませんが、エックスサーバーのアクセス解析ならIPアドレスが見られます。IPが見られる無料の解析もありますが、一時的に入れるだけなのでサーバーのを使いました。
「サーパーパネル ⇒ アクセス統計 ⇒ X Analyzer ⇒ IPアドレス」で確認することができます。
デフォルト状態ではインストールされていませんので、気になる方はインストールしておきましょう。
2週間ほどのデータを元にIPアドレスを見ていると、圧倒的にPVが多いIPアドレスがあることがわかりました。2番目のは自分のアクセスです。
で、1番多いIPアドレスを調べてみると、サイトの表記修正のために某代理店が回しているクローラーのアクセスだとわかりました。
以前から、このクローラーが回っているのは知っていましたが、最近何か変わったのかもしれないと思い、ASPの担当者に確認してもらうことにしました。
返事がないまま1週間が経過して、どうするか考えようともう一度IPアドレスのデータを確認すると、怪しいアクセスが大量にあることがわかりました。
よく考えたら、代理店のクローラーが原因だとしたら、PVは増えてもセッションは大量に増えませんよね。
なんすかこれw
ec2-54-169-87-62.ap-southeast-1.compute.amazonaws.com
ec2-54-169-107-112.ap-southeast-1.compute.amazonaws.com
こういったアクセスが無数にありました。IPアドレスを変更して大量にアクセスするからセッション数が増えていたんですね。
「54-169-87-62」この部分はIPアドレスですね。
同一IPからの大量アクセスでなかったので、原因を見つけるのに時間がかかりました。
調べてみたらAmazonのAWSを利用したスパムアクセスであることがわかりました。ログを見ると画像ファイルを何度も見に行っている?
AWSが何か悪いことをしているわけではありません。AWS+プロキシを利用して悪さしている人がいるということですね。
「amazonaws.com」でググると色々なサイトが被害にあっていることがわかります。
- *.compute.amazonaws.com、そは何者?
- 迷惑なアクセス(その2) amazonaws.comの正体
- 不正アクセス?amazonaws.comからの大量アクセス発生
- amazonaws.comが目障りなのでアクセス拒否!
ググる途中で「Amazon EC2 を使った無限IPアドレスの作り方」という記事に出会い、そういえばこんな記事を見たなと思い出しました。
被害報告の記事は2013~2015年の物が多く、2016年現在で被害にあっている人は少なそうですが、とりあえず原因がわかってよかったです。
スパムアクセス対策
こういったスパムアクセスは.htaccessでブロックするのが基本です。
IPアドレスが一つであればそのIPアドレスを指定すれば良いのですが、今回はIPアドレスが無限に変わりますので、ドメインを指定することになります。
詳しいやり方は、「.htaccess ブロック」とかでぐぐって欲しいのですが、
order deny,allow
allow from all
deny from amazonaws.com
.htaccessファイルにこのように追記すればOKです。
これで「amazonaws.com」を含むIPアドレスはブロックできます。「amazonaws.com」から当サイトにアクセスできなくなるわけですが、特に困ることはなさそうです。
昨日と今日のアクセス比較ですが、スパムアクセスがいなくなり以前の平穏な日々が戻ってきそうです。
全サイトでamazonaws.comを拒否しようかな。