【注意情報】不正アクセス(5)あなたのサイトへ不正アクセスはありませんか?

シェアする

食い逃げプーチン大統領の強かさが今もって理解できていない安倍首相。「北方領土」の餌をちらつかせれば何処までも尻尾を振ってついてくる安倍首相。今さらロシアが北方領土を返還すると誰が信じているのでしょうか?

国内では、「安倍首相夫妻の関わりが濃厚としか思えない籠池疑惑、加計疑惑」、「バレてしまったらコンニャクを返して知らぬ存ぜぬの安倍首相夫人名誉校長問題」、「全く資質も能力も無く網タイツ姿で年増の色気で安倍首相のお気に入りで、責任を自衛隊に転化して逃げ切った稲田朋美防衛大臣」、「答弁しようと思って立ち上がろうとしたら、隣の席から押さえつけられて答弁させてもらえなかった金田勝年法務大臣」、「豊田真由子議員の『この、ハゲーーーーーっ!』発言」など、「安倍首相を始め、安倍政権も自民党も2017年の流行語大賞候補である「怪文書」なる言葉まで使って証拠隠滅」に大わらわ。最後のとどめは、安倍昭恵夫人の疑惑の証拠隠滅のために安倍晋三首相夫人付の政府職員だった中小企業庁の谷査恵子氏が8月6日付で在イタリア日本大使館1等書記官に異例の異動」。

それにしても、プーチン大統領のロシアからの不正アクセスの試行は止まることを知らず、終着駅が見えない宇宙の果てまで続いています。

ブログを運用の皆さんはセキュリティ対策は十分に実施して下さい。

このサイトでは、プーチン大統領のロシアからの不正アクセスの試行について下記の記事で、お知らせしていますが、その続きをご披露しておきます。

【注意情報】不正アクセス(1)食い逃げプーチン大統領のロシアから忍び寄る悪魔の黒い手
2016年12月15日~16日はロシアからプーチン大統領が山口県へ。 ロシアの政府専用機の写真を撮りたいとは思うものの、宇部空...
【注意情報】不正アクセス(2)サイバー攻撃を指示したと疑われるプーチン大統領のロシアからの不正アクセス
2016年12月15日~16日はプーチン大統領が山口県を訪れた記念にと、私が運用しているWordPress版のサイトのWP-Banプ...
【注意情報】不正アクセス(3)相変わらず続いているプーチン大統領のロシアからの悪魔の手
米国のトランプ大統領は、ロシアへ介入を依頼したことがバレないようにと、コミー前FBI長官の証言内容潰しにテンテコ舞いではないでしょう...
【注意情報】不正アクセス(4)増え続けるプーチン大統領のロシアからの不正アクセス
食い逃げされたことが今もって理解できていない安倍首相が馬鹿なのか、甘いことを言って満腹になっても高級料理をオネダリし続けるプーチン大...

2回目の調査以降、殆どアクセスの無いサイトでSlimStatプラグインを働かせたままになっていますので、残されたログの内、不正アクセスの試行に関わるものを下記の表に順次追加していくことにしました。


SlimStatプラグインを働かせたままになっているのは、不正アクセスの試行以外は殆どアクセスのない、予備用とテスト用として仮設置の3つのサイトです。

殆どアクセスのないサイトでさえ狙い撃ちしてきますので、私が運用中の全てのサイトを調査したら、星の数ほどの不正アクセスの試行の痕跡が見えると思います。・・・しかし、SlimStatプラグインは重いですからアクセスの多いサイトで働かせることは出来ません。

これら3つのサイトは、毎朝、SlimStatプラグインのログで不正アクセスの試行を見るのが楽しみです。


ログに残されている不正アクセスの試行については、全て
・使用したホスト(IP)は、「ロシア」・・・ロシア以外は見当たりません。
・リンク元は、「https://www.yandex.ru/
・試行した結果は、セキュリティ対策が施してあるので「404エラーで不正アクセス失敗
となっています。

下記の表では「リンク元」と「試行した結果」は省略します。

また、使用しているパソコンの「OS」、「ブラウザ」、「インストールされているソフトウエア」、「ディスプレイ解像度」などの情報がログに記録されていますが、これらも省略します。


なお、私が使用しているセキュリティ用プラグインは、SiteGuardです。・・・SiteGuardの設定を変更したいのか、SiteGuardへの不正アクセスを試行している痕跡も残っています。

スポンサーリンク

【注意情報】不正アクセス(5)あなたのサイトへ不正アクセスはありませんか?・・・2017年07月17日~08月18日のSlimStatのログから抜粋

「試行内容」については説明を省きますが、「Wordpress」で構築されたサイトの皆さんは、管理画面にログインしない状態で、「自分のサイトのURL」に続けて、「試行内容欄の記載文字列」を入力して不正ログインを試してみて下さい。

エラーになって管理画面が表示されなければ少しは安心ですが、自分のサイトの管理画面が開くような場合は、直ちに運用を休止して、セキュリティ対策をすることをお勧めします。

下記の表の「試行内容」に書かれた例は、彼らのやっていることの一部でしかありません。

不正アクセス
試行日時
使用したホスト(IP) 試行内容
2017-07-17 13:54  37.110.148.58, broadband-37-110-148-58.moscow.rt.ru  /wp-admin/post.php?post=1544&action=edit
 2017-07-17 13:54  46.42.160.236  /wp-admin/plugins.php?plugin_status=all&paged=1&s
 2017-07-18 06:30  176.193.24.7, ip-176-193-24-7.bb.netbynet.ru   /wp-admin/wp-admin/update-core.php?action=do-plugin-upgrade
 2017-07-19 16:15  188.32.233.78, broadband-188-32-233-78.moscow.rt.ru  /wp-admin/customize.php?return=/wp-admin/index.php
 2017-07-20 05:50  109.173.49.197, broadband-109-173-49-197.moscow.rt.ru  /wp-admin/
 2017-07-20 19:56  109.63.244.223, ip-109-63-244-223.bb.netbynet.ru  /wp-admin/plugin-install.php?s=Google Analytics Dashboard for WP (GADWP)&tab=search&type=term
 2017-07-22 03:18  109.63.216.139, ip-109-63-216-139.bb.netbynet.ru  /wp-admin/plugins.php?plugin_status=all&paged=1&s
 2017-07-22 22:29  37.145.114.135, 37-145-114-135.broadband.corbina.ru  /wp-admin/update-core.php?action=do-plugin-upgrade
 2017-07-23 12:18  188.32.232.92, broadband-188-32-232-92.moscow.rt.ru  /wp-admin/update-core.php?action=do-plugin-upgrade
 2017-07-23 17:55  128.68.110.193, 128-68-110-193.broadband.corbina.ru  /wp-admin/plugins.php

スポンサーリンク

不正アクセス
試行日時
使用したホスト(IP) 試行内容
 2017-07-24 04:53  46.188.81.68, broadband-46-188-81-68.2com.net  /wp-admin/
 2017-07-24 15:46  89.178.68.23, 89-178-68-23.broadband.corbina.ru  /wp-admin/
 2017-07-25 08:42  77.37.221.104, broadband-77-37-221-104.moscow.rt.ru  /wp-admin/
 2017-07-27 14:06  178.140.13.197, broadband-178-140-13-197.moscow.rt.ru  /wp-admin/post.php?post=336&action=edit
 2017-07-28 00:11  91.79.191.7, ppp91-79-191-7.pppoe.mtu-net.ru  /wp-admin/update-core.php?action=do-plugin-upgrade
 2017-07-28 05:52  188.255.17.204, broadband-188-255-17-204.moscow.rt.ru  /wp-admin/plugins.php?plugin_status=all&paged=1&s
 2017-07-28 05:52  95.24.51.80, 95-24-51-80.broadband.corbina.ru  /wp-admin/plugins.php
 2017-07-29 01:43  176.15.229.137  /wp-admin/
 2017-07-29 15:54  109.63.220.82, ip-109-63-220-82.bb.netbynet.ru  /wp-admin/post.php?post=367&action=edit
 2017-07-30 04:06  128.69.217.63, 128-69-217-63.broadband.corbina.ru  /wp-admin/plugins.php

表のデータには、ロシアからの正常な閲覧は含んでいませんが、「既投稿記事の編集画面への不正アクセスの試行」の前後には、当該記事を閲覧している痕跡が残っています。
表では記載を省略していますが、この様な場合は「不正アクセスの試行」、「事前事後の閲覧」共に、使用している「パソコンのOS」「ブラウザ」「ディスプレイの解像度」は同じですが「ホスト(IP)」が同じだったり、「不正アクセスの試行」が「事前事後の閲覧」が同一時刻(時分)でありながら「使用しているパソコンが異なる」などの痕跡が見られます。
「不正アクセスの試行」は個人的に行っているのではなく、組織化された団体が行っているような気がしますが・・・しかし、真相は判りません。我々素人に、簡単に尻尾を掴まれることはしていませんよね。

スポンサーリンク

不正アクセス
試行日時
使用したホスト(IP) 試行内容
 2017-07-31 08:00  176.193.127.23, ip-176-193-127-23.bb.netbynet.ru  /wp-admin/
 2017-07-31 14:15  128.74.247.113, 128-74-247-113.broadband.corbina.ru  /wp-admin/post.php?post=367&action=edit
 2017-08-01 13:41  95.221.253.77, ip-95-221-253-77.bb.netbynet.ru  /wp-admin/post-new.php
 2017-08-02 02:50  5.228.112.210, broadband-5-228-112-210.moscow.rt.ru  /wp-admin/admin.php?page=slimview1
 2017-08-02 04:44  46.42.134.201  /wp-admin/edit.php?post_status=trash&post_type=post
 2017-08-02 11:43  95.28.206.235, 95-28-206-235.broadband.corbina.ru  /wp-admin/post.php?post=336&action=edit
 2017-08-02 21:31  95.220.193.132, ip-95-220-193-132.bb.netbynet.ru  /wp-admin/admin.php?page=slimview1
 2017-08-02 21:31  176.14.207.97  /wp-admin/update-core.php?action=do-plugin-upgrade
 2017-08-04 14:26  95.221.198.153, ip-95-221-198-153.bb.netbynet.ru  /wp-admin/post.php?post=367&action=edit
 2017-08-05 15:33  178.140.235.245, broadband-178-140-235-245.moscow.rt.ru  /wp-admin/

2017-08-02 21:31(秒は不明)の日時で2件の不正アクセスの試行が記録されていますが、記録されている全データを比べてみると、2件とも、「Windows 7、IE8、800×600、Acrobat、PDF Viewer、Flash、yandex.ru」が記録されており、 異なるのは「使用したホスト(IP)」だけ。攻撃用のプログラムにより、世界中のサイトへ次々と攻撃を繰り返しているのでしょうね。

スポンサーリンク

不正アクセス
試行日時
使用したホスト(IP) 試行内容
 2017-08-05 19:13  95.221.244.19, ip-95-221-244-19.bb.netbynet.ru  /wp-admin/post.php?post=215&action=edit
 2017-08-06 15:48  95.27.251.238, 95-27-251-238.broadband.corbina.ru  /wp-admin/plugins.php
 2017-08-06 15:48  128.72.75.44, 128-72-75-44.broadband.corbina.ru  /wp-admin/plugins.php?plugin_status=all&paged=1&s
 2017-08-07 00:25  46.42.173.243  /wp-admin/
 2017-08-07 00:25  128.69.217.153, 128-69-217-153.broadband.corbina.ru  /wp-admin/post.php?post=367&action=edit
 2017-08-09 20:13  178.140.13.197, broadband-178-140-13-197.moscow.rt.ru  /wp-admin/post.php?post=369&action=edit
 2017-08-11 17:36  128.72.212.252, 128-72-212-252.broadband.corbina.ru  /wp-admin/admin.php?page=slimview1
 2017-08-12 02:18  95.28.14.174, 95-28-14-174.broadband.corbina.ru  /wp-admin/admin.php?page=slimview1
 2017-08-12 08:35  178.140.120.219, broadband-178-140-120-219.moscow.rt.ru  /wp-admin/
 2017-08-13 07:36  176.193.171.57, ip-176-193-171-57.bb.netbynet.ru  /wp-admin/themes.php

2017-08-06 15:48(秒は不明)の日時で2件の不正アクセスの試行が記録されていますが、記録されている全データを比べてみると、2件とも、「Windows 8、IE10、800×600、Acrobat、PDF Viewer、Flash、yandex.ru」が記録されており、 異なるのは「使用したホスト(IP)」だけ。・・・2017-08-02 21:31の痕跡とはパソコンが異なっています。


日時と使用機器、IPアドレスは異なりますが、同じこと(/wp-admin/admin.php?page=slimview1)を2度繰り返している痕跡が記録されていました。

2017-08-11 17:36は、「携帯端末」「Windows 8」「IE 10」「Acrobat」「PDF Viewer」「Flash」「解像度 800×600」「yandex.ru」

2017-08-12 02:18は、「Windows 10」「IE」「解像度 1366×768」「yandex.ru」

この2件は、この記事を公開した後ですから、Slimstatプラグインの Access Log ページへの記録状態を見たいのでしょうね。

スポンサーリンク

不正アクセス
試行日時
使用したホスト(IP) 試行内容
 2017-08-13 08:01  95.28.55.14, 95-28-55-14.broadband.corbina.ru  /wp-admin/admin.php?page=slimview1
 2017-08-13 08:01  128.72.177.9, 128-72-177-9.broadband.corbina.ru  /wp-admin/post.php?post=215&action=edit
 2017-08-13 15:55  128.72.208.243, 128-72-208-243.broadband.corbina.ru  /wp-admin/post.php?post=369&action=edit
 2017-08-16 13:56  188.32.176.159, broadband-188-32-176-159.moscow.rt.ru  /wp-admin/update-core.php
 2017-08-17 12:24  95.221.207.91, ip-95-221-207-91.bb.netbynet.ru  /wp-admin/post.php?post=370&action=edit
 2017-08-17 13:56  5.228.20.199, broadband-5-228-20-199.moscow.rt.ru  /wp-admin/post.php?post=215&action=edit
 2017-08-17 18:37  46.241.7.137, host-46-241-7-137.bbcustomer.zsttk.net  /wp-admin/post.php?post=215&action=edit
 2017-08-18 03:40  128.68.216.167, 128-68-216-167.broadband.corbina.ru  /wp-admin/themes.php
 2017-08-18 07:18  176.193.125.145, ip-176-193-125-145.bb.netbynet.ru  /wp-admin/customize.php?return=/wp-admin/
 2017-08-18 11:30  95.221.214.129, ip-95-221-214-129.bb.netbynet.ru  /wp-admin/update-core.php

試行内容から、何をしようとしているのかを勝手気儘に推測

私が運用しているサイトで、「ダッシュボート」を開いて、「サイトのURL」+「試行内容の文字」でアクセスしてみました。
その結果現れた画面から、何をしようとしているのかを推測してみました。

皆さんのサイトとは、使用されているテーマが異なったり、使用されているプラグインも異なるので同じ結果は出ないと思いますが、ご自分のサイトでSlimStatなどででログを取るなりして試してみて下さい。


私は2003年のホームページの再開当初から詳細なアクセスログを取り続けていますが、日本語のサイトへ、「ロシア」から「ロシア語パソコン」でのアクセスが多いからと喜んではおられないことは判っています。

皆さんのサイトへの「ロシア」から「ロシア語パソコン」でのアクセスはいかがでしょうか?


  • http://blog.iwakuni.info/archives/1544 の編集画面への不正アクセス・・・本文中の「ロシア」の文字を消したいのか?
  • 「インストール中のプラグイン」画面への不正アクセス・・・インストールされているセキュリティ対策プラグインを調べているのか? SiteGuard WP Plugin」を停止させたいのでしょうか? 繰り返し試行しています。
  • 「WordPress の更新」画面への不正アクセス・・・WordPress のバージョンが脆弱性の残ったバージョンが否かを調べたのでしょうか? 旧バージョンなら、他の事も試行したのでは?
  • 「カスタマイズ」画面への不正アクセス・・・サイトの改竄、破壊を企んでいます。
  • 「ダッシュボード」への不正アクセス・・・サイトの乗っ取りを企んでいます。
  • 「Google Analytics Dashboard for WP (GADWP)」プラグインの追加画面への不正アクセス・・・このプラグインは既に追加済み。何が目的なのか理解できない。
  • http://wp-test.iwakuni.info/archives/336 の編集画面への不正アクセス・・・こんな記事に何をしたいのか、素人の私には理解できません
  • ゴミ箱の中の http://wp-test.iwakuni.info/archives/367 の編集画面への不正アクセス・・・しかし、この記事はテスト投稿後、約2時間でゴミ箱へ。yandex.ruのクローラーロボットのしつこさには驚き桃の木山椒の木です。さすがKGBのロシアですね。
  • 「Slimstatプラグインの Access Log ページ」への不正アクセス・・・失敗ばかりする自分たちの不正アクセス試行の記録を見たいのでしょうが、残念ながら、この記事へ書き込んだらLogから削除してありますので、不正アクセスに成功しても記録を見ることは出来ません。
  • 「新規投稿を追加」画面への不正アクセス・・・既存記事の改竄は失敗続きなので、新しいお化けのようなウイルス入りの記事を追加しようとしているのでしょうか?
  • 「投稿一覧」の「ゴミ箱」画面への不正アクセス・・・ゴミ箱の中には、テスト投稿後、約2時間で削除した http://wp-test.iwakuni.info/archives/367 があり、この記事のタイトルは「Ty-134」「An-24」「An-148」を自慢する、北朝鮮の海外向けに観光を呼び掛けるサイト」。もしかすると、プーチンのロシアからの攻撃ではなく、北朝鮮の闇の集団がロシア経由で攻撃を仕掛けようとしているのかもしれませんね。・・・この記事は完全削除しておきましたが、不正アクセスに成功されたら、削除したはずの記事が、知らないうちに復活しているかもしれませんよ。
  • http://wp-test.iwakuni.info/archives/215 の編集画面への不正アクセス・・・岩国市田舎村昆虫館の全面修正の進捗チェック用で、私以外には役に立たないと思いますが・・・この記事には「noindex」、「nofollow」が設定してあり、既に削除済みですが、さすがにKGBの国、ロシアのyandex.ruは徹底的に探るのですね。
  • 既に削除済みの http://wp-test.iwakuni.info/archives/369 の編集画面への不正アクセス・・・この記事に何の未練があるのでしょうか?
  • 「テーマ」の管理ページへの不正アクセス・・・突然テーマが変わっていたら、サイトの運用者はビックリすることでしょう。

不思議なこと・・・判る方は教えて下さい

SlimStatプラグインのログに残っている痕跡では、「使用したホスト(IP)」は全てが「ロシア」です。

2016年6月頃の調査では、「ロシア」だけでなく、「ポーランド」も見受けられていましたが、「ロシア」以外は何処へ雲隠れしたのでしょうか?

【資料】Wordpressのプラグイン「WP-Ban」に設定するIPアドレスの例
私がWordPressを使用して運用しているサイトで、セキュリティ対策として実施していることについては、【緊急注意報】WordPre...

また、ログに残った痕跡では、全てが「yandex.ru」経由になっています。

Яндекс
Мобильный портал Яндекса

yandex.ru」の画面はロシア語らしい(?)ので私には読めませんが、裏的な使用が出来る画面に辿り着く方法を知りたいものです。

スポンサーリンク
関連コンテンツ



シェアする

フォローする

トップへ戻る