こんにちは
2月に導入したWAFをまるっと一ヶ月動かしたらネタにしようと思ってたので、実行します(笑)
3月1日から31日までのログになります。
導入時の記事は以下になります。
→ WAF(Web Application Firewall)を導入しました
WAFって何かと言うと、サイバー攻撃からWebサーバを守る物でして、基本的にはシステムの脆弱性(セキュリティーホール)を使った不正アクセスを防ぐ為の物です。
WAFの場合には、Webサイトを守る物ですが、それ以外にはFirewallを導入しています。
Firewallではポート遮断の他にも、あまりにしつこいアクセス元からの通信を遮断しています。
また、サーバへの管理機機能などの一部の機能(通信ポート)へのアクセスは一部または、国内のみに制限してたりします。。。それ以外にもいろいろと。。
と言う感じです。
WAFを入れたので、どんな傾向が有るのか見てみました。
1ヶ月間の不正アクセスを検出した件数は2,598件でした。多いのか。。少ないのか。。
個人情報は極力取得しないようにしているので、攻撃しても仕方ない気がしますが。。
日単位のグラフは。。あまり参考にならないかな。。
時間は2時と14時が多いです、これは4月も同じ傾向があります。1日2回チェックしているのかも知れませんが。。毎日チェックしても仕方ない気がしますが。。。(^^;
また、検出した攻撃の種類はSQLインジェクションが83%と飛び抜けて多いです。
SQLインジェクションと言うと、データベースからデータを抜き出すか、データベースの自体を破壊する事ができるかなと思います。脆弱性がないと、そもそも無理なんですけどね。
脆弱性を発見できれば、そのアプリケーションでアクセスできるデータベース上のデータを割と抜き放題できます。個人情報や企業情報の取得が目的。。なんでしょうか。。
攻撃者の気持ちが分からないので、目的がいまいち。。と言うか様々なんでしょうけど。。
全部書いても。。と思うので端折ります。有名所の脆弱性が並んでますね。。WAFの性格上当たり前なんですけど。
それ以外には以下の様なのが出力されてました。
上のの詳細です。
攻撃元のIPアドレス。
上の2つは、ベリーズって国の様ですが。。聞いたこと無かったです、中央アメリカで、メキシコの南側の国でした。3番目はルーマニア、4番目はフランスと続きます。
昔は、中国、ロシア、パキスタン当たりの独壇場だった気がしますが、最近はそうでも無いみたいです。
とは言っても、多分。。ですが、この手の攻撃で踏み台にされてるサーバなんでしょう。。と思います。
真面目に契約してサーバを借りて攻撃してるとは思い難いですし。。
後は、日毎、時間帯のグラフを数字で出ている情報だけです。
見てると割と面白いです。
コメント