#原因判明 #DoS 攻撃が多い、#504エラー でDBがスタック #plugin 注意

1.はじめに

 昨日、DoS攻撃について記述しましたが、エラーログを分析して、原因が判明しました。困った時は参考にしてください。


2.内容

(1)故障状況

  時間は不定ですが、早朝から午前中が多い感じ、毎日朝テストしてタイムアウト、504エラー

(2)切り分けと対処

 切り分けでpypmyadminの状態>セッションを見ると、同時接続;max151または66でスタっく。個別にkillしても反応しない。

 mysqlを停止して、再起動し回復。5分位で回復

(3)分析

 エラーログから特定のIPからのDoS攻撃の模様

 ◎特定のpluginに対してDoS攻撃、SQLインジェクションが判明

ーーーーーーーーーーーーコンタクトフォーム例、1秒間に何回も攻撃

Tue Mar 28 15:21:28.998126 2023] [cgi:error] [pid 359632] [client 3.70.24.21:36856] AH01215: PHP Fatal error: Uncaught Error: Failed opening required '/usr/home/xxxx/www/htdocs/wordpress/wp-content/plugins/contact-form-7/includes/swv/swv.php' (include_path='.:/usr/local/php-8.1/lib/php') in /usr/home/xxxx/www/htdocs/wordpress/wp-content/plugins/contact-form-7/load.php:12

ーーーーーーーーーーーーー

(4)DoS攻撃元

 ・181.117.240.43 host43.181-117-240.telmex.net.ar アルゼンチン

 ・172.105.216.226 172-105-216-226.ip.linodeusercontent.com 国不明

 ・3.70.14.61 ec2-3-70-14-61.eu-central-1.compute.amazonaws.com US

 ◎3.70.24.21 ec2-3-70-24-21.eu-central-1.compute.amazonaws.com US 追加

(5)対策

 ・一応上記IPを規制。しばらく様子見とDBのセッションを適宜確認、その後解除。たぶん踏み台

◎特定のpluginを無効に、問い合わせフォームとソーシャルメディア連携用plugin

ーーーーーーーーーーーーーー

contact-form-7 停止

ultimate-social-media-icons 停止

so-widgets-bundle 停止

ーーーーーーーーーー

(6)その後の経過

・特にスタックは発生していない。


3.問い合わせ先

当社の強み

・無線LANの専門調査会社として、セキュリティから電波までの無線LANの専門性を強みとしております。

・無線歴35年、SI歴25年の専門家が対応します。

・自社所有の測定ツール(Linux,スペアナ、電波診断ツール、セキュリティ診断ツール、トラヒック診断ツール)により迅速に対応します。

スペクトラム・テクノロジー株式会社

https://spectrum-tech.co.jp

電話:04-2990-8881

email:sales1@spectrum-tech.co.jp

担当:村上


Spectrum Technology

無線の可視化により、快適な無線LAN(WiFi)、M2M環境を提供します。電波診断、セキュリティ診断による現状把握と対策を提供します。自社保有の測定ツールと無線歴35年により無線LANのトラブル対応力No.1を目指します。