• 不正アクセス被害

Drupal で構築したサイトにおいて、CPU使用率がほぼ100％になっていたので確認したところ、WEBサービスのapacheが高い使用率を示していました。しかしながら、アクセス数は増えておらず、不自然です。Drupal のアクセスログ（admin/reports/dblogやadmin/reports/visitors）を確認すると、以下の図のようにおかしなアクセスがたくさんありました。

ユーザ作成、パスワードリセット、記事投稿、パスワードクラックと思われるログインのリトライ、存在しないページへのアクセスなど。1，2分間隔で、同様のアクションを自動で実行していると思われます。詳細を確認すると大半がUSからのアクセスで、IPアドレスを毎回変えており、1日に数十ものIPアドレスを使用しています。

• 対策

1. Drupal http:BL モジュール
   機械的なアクセスなので、DrupalのSPAM対策モジュールで対応できそうです。Blacklist のデータを共有でき、honeypot の機能を持つ http:BL モジュールを使用しました。
2. Apache Spamhaus Module
   

   $ sudo apt-get install libapache2-mod-spamhaus
   $ sudo vim /etc/apache2/mods-available/spamhaus.conf
   

• 結果

Drupal のログを確認すると（admin/reports/blocked-hosts）、下図のようにBlacklistのデータベースと生成したBlacklistおよびGreylistに基づいて、順調にブロックしています。CPU使用率も徐々に落ち着いてきています。