ぱぱネット（仮）

_ 8月の転送量24GB

8月10日ごろロボットが 673万アクセス していきやがった。 テキスト主体とは言え、これだけで2GBアップロード。毎秒30回以上アクセスするので サーバー負荷も馬鹿にならない。

プロバイダはBiglobe神奈川(122.135.226.117)。ちなみに...

• 8月: 673万(1位) Biglobe神奈川(122.135.226.117)
• 7月: 132万(2位) Biglobe神奈川(125.198.70.208)
• 6月: 33万(2位) Biglobe神奈川(122.132.34.201)

なので、おそらく同一人物であろう。セキュリティに全く配慮していないPCが、 新たなトロイ・ウイルスに感染し続けているのではないか、という推測が成り立つ。

_ mod_evasiveの導入

Biglobeを永久BANするということも考えたが、本質的解決ではないし、 確かぱぱネットメンバーの誰かがBiglobeだった気がする。

なのでWebサーバーにDOS攻撃検出モジュールmod_evasiveを導入することにした。 実は、半年くらい前にもチャレンジしたのだが、なぜかapxsがハングする(永遠に終わらない)という バグに見舞われ断念していたのだ。今回は手動でApacheモジュールをコンパイルしてインストール。

ロボットの挙動は、まず(以前収集したであろうデータベースの)URLリストにしたがって、サイト全体を絨毯爆撃する。 俺のCGIで絨毯爆撃が検出され、302でSTOP BOTページに飛ばすと、今度はそのページをものすごい勢いでアクセスする(笑)。 だからDOS攻撃検出モジュールで検出できるはずだ、という訳。

現在の設定では、一度に異なる50個のURLを同一IPから1秒以内にアクセスしたり、 同じURLを2秒で30回以上アクセスしなかればひっかからない。 つまり人間が手動でブラウズする限りでは関係ない。ひっかかると5分程度アクセス禁止になり、その後解除される。

_ 閉鎖の危機

これでアクセスが減るといいなあ...というか減ってくれないと今度こそ閉鎖ですよ。