WordPress でサイトの運営を始めますと、ログインを試みるアタックが来ますよね。
どういう風に来るか見てみました。
一昨日の観察の時の状況を申しますと、様々なパスワードを投げつけて来ていました。
パスワードなのか、キーワードなのか判りませんが、てんでばらばら、あいうえお順でもなく、アルファベット順でもなく、何の脈略もない順番で、のべつまくなく大量に様々なキーワードをパスワードに設定してアタックしてきていました。
そこで、WordPressを動かしている仮想コンピュータのインスタンスをリブートしてみました。
そうしましたら、そのアタックは止まりました。
ログを観察しますと、様々なIPアドレスから、ログインを試みるアタックを受けている事がわかります。
そして、それらは、数回ログインを試みている時や、数分~数10分繰り替えしてくる時、数時間繰り替えしている時が在る事が判ります。
数回アタックしてくるのは、人間がやっていると思いますが、数10分以上繰り返してくる場合は、機械的(プログラムによる)にアタックして来ていると思えます。
機械的なアタックでも、時間的に長い物と、短い物が在るのは、試してくるキーワードの量が関係しているのかなぁとか、思っています。
このサイトのIPアドレスは、固定IPではなく、プロバイダーさんからDHCPで一時的に割り当ててもらっているIPアドレスです。
その為、IPアドレスの値は時々変化しています。
そう言えば、かなり執拗なアタックを受けたときに、光回線の装置一式をリブートさせた事がありました。
この時はプロバイダーさんから払い出されたIPアドレスが変化し、その直後はアタックが止んでいたのですが、半日後に執拗なアタックが再開されました。
リブートさせても、すぐにアタックが再開し、終わる気配が在りませんでした。
そのため、その時は、アタックを仕掛けてくるIPアドレスから飛んでくるパケットを破棄する設定を入れました。
数ヶ月後、
該当のIPアドレスに対する破棄設定を、解除しましたが、アタックは来ませんでした。
こちらの事を忘れたのか、別の人がそのIPアドレスを割り当てられたのか、理由は判りません。