ブログ - Splunkを使って,XOOPSに不正登録しようとするIPアドレスを調べてブロックした
Splunkを使って,XOOPSの登録用URIである/register.phpへのアクセスをカウントしてみました.
すると,178.159.37.14からのアクセスが1600回超えで,全体の42.9%をしめています.このIPアドレスを調べると,ウクライナからのもの.
検索SPLはこれ.
whoisで調べてみたら,こんな感じ.
178.159.37.14 ウクライナ 42.9%
92.255.195.226 ロシア 13%
95.85.41.17 オランダ 4.4%
31.184.236.65 ラトビア 3.7%
128.199.255.9 シンガポール 2.2%%
トップ5だけで全体の66.2%でした.これらを封鎖するだけでかなりのアクセスを防げそう.ウクライナからのアクセスは,今年に入ってからもずっと続いています...
備忘のために,FWでブロックした日時を記録.
すると,178.159.37.14からのアクセスが1600回超えで,全体の42.9%をしめています.このIPアドレスを調べると,ウクライナからのもの.
検索SPLはこれ.
sourcetype=access_* register.php |top limit=5 clientip
whoisで調べてみたら,こんな感じ.
178.159.37.14 ウクライナ 42.9%
92.255.195.226 ロシア 13%
95.85.41.17 オランダ 4.4%
31.184.236.65 ラトビア 3.7%
128.199.255.9 シンガポール 2.2%%
トップ5だけで全体の66.2%でした.これらを封鎖するだけでかなりのアクセスを防げそう.ウクライナからのアクセスは,今年に入ってからもずっと続いています...
備忘のために,FWでブロックした日時を記録.
ujp:ipfw root# date
Thu Jan 19 02:00:47 JST 2017
ujp:ipfw root#