Drupal サイトへのSPAM不正アクセス被害と実施した対策

  • 不正アクセス被害

Drupal で構築したサイトにおいて、CPU使用率がほぼ100%になっていたので確認したところ、WEBサービスのapacheが高い使用率を示していました。しかしながら、アクセス数は増えておらず、不自然です。Drupal のアクセスログ(admin/reports/dblogやadmin/reports/visitors)を確認すると、以下の図のようにおかしなアクセスがたくさんありました。

ユーザ作成、パスワードリセット、記事投稿、パスワードクラックと思われるログインのリトライ、存在しないページへのアクセスなど。1,2分間隔で、同様のアクションを自動で実行していると思われます。詳細を確認すると大半がUSからのアクセスで、IPアドレスを毎回変えており、1日に数十ものIPアドレスを使用しています。

 

  • 対策
  1. Drupal http:BL モジュール
    機械的なアクセスなので、DrupalのSPAM対策モジュールで対応できそうです。Blacklist のデータを共有でき、honeypot の機能を持つ http:BL モジュールを使用しました。
  2. Apache Spamhaus Module
    $ sudo apt-get install libapache2-mod-spamhaus
    $ sudo vim /etc/apache2/mods-available/spamhaus.conf
    

 

  • 結果

Drupal のログを確認すると(admin/reports/blocked-hosts)、下図のようにBlacklistのデータベースと生成したBlacklistおよびGreylistに基づいて、順調にブロックしています。CPU使用率も徐々に落ち着いてきています。