Subscribe:

2010/11/05

Roundcubemailを狙う攻撃か?

phpmyadminに.htaccessを設置したついでにRoundcubemailにも設置した
しかし、Roundcubemailにアクセス制限をかけた翌日からLogwatchからのメールに大量の「403 Forbidden」が発生していた時のメモ

エラー内容(一部)
./access_log:150.70.66.179 - - [04/Nov/2010:10:45:57 +0900] "GET /roundcubemail/?_task=mail&_remote=1&_action=check-recent&_t=1288701755665&_mbox=INBOX&_list=1&_=1288701755666&_unlock=1 HTTP/1.0" 403 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
./access_log:150.70.66.179 - - [04/Nov/2010:10:55:54 +0900] "GET /roundcubemail/?_task=mail&_remote=1&_action=check-recent&_t=1288701095648&_mbox=INBOX&_list=1&_=1288701095649&_unlock=1 HTTP/1.0" 403 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
どこからか不正アクセスしているのでは?と思ったがアクセス制限かけた翌日だと言うのとアクセス元がJPNIC(http://www.nic.ad.jp/)なので可能性は低いと判断。

調査した結果
1.ログにある13桁の数字は最初の10桁がUNIXTIMEで残りはたぶん乱数
2.Roundcuemailを使用していない時も発生している。→ CRONに登録なし
3.ログにMSIE6.0と書かれているがIE6以外のブラウザでも使用する。
4.発生時間に規則性は見られない。(数分間隔だったり数時間間隔だったり)


結果
以下のIPを.htaccessで許可したら
nic.ad.jpを許可したらエラーもアクセスもなくなった。

150.26.0.0/15
150.28.0.0/14
150.32.0.0/11
150.64.0.0/11
150.96.0.0/14
150.100.0.0/16

0 件のコメント: