DOS攻撃でダウンしてしまいました

今朝、ブラウザで自分のブログを開こうとしたら”データベース接続確立エラー”という大きな文字の画面が表示されました。 LAN内からサーバーにSSHで接続することは出来たのですが、しばらくするとSSH接続も応答がなくなってしまいました。

このブログのサーバーは Raspberry Pi 3 にWordpressをインストールしたものですが、データベースが破損してしまったのかと思い、昨年末にバックアップを取ったSDカードイメージに書き直したのですが改善しません。

SDカードが物理的に破損したのか、と思い別のSDカードに交換してみましたが同じ、さらにRaspberry pi 3の基板を別のものにしてみましたが相変わらずです。

参ったな~と思いながら、とりあえずアクセスしていただいた方に”故障中”の表示をする仮のサーバーでも用意しようかと思い、ルータの管理画面を開いてみましたら、Wordpressサーバーの接続数が異常に大きな数字になっていて、見る間にどんどん数字が増えていくのを見つけました。

 

上の画像がルータ(dd-wrt)のステータス画面LAN側ですが、wordpressの行の接続数が748になっているのがわかるかと思います。

もしかして力ずくのパスワード破り攻撃かも、と思い、テスト用にVMWareでWindows 7の仮想マシンを作成し、インターネットインフォメーションサービスを起動後、WireSharkをインストールしてキャプチャフィルタ tcp port 80 で起動してからルータのポート転送先のIPアドレスをその仮想マシンあてに変更してみました。

結果は上記画像ですが、IPアドレス 191.96.249.54 から接続開始のパケット [SYN] が連続して送りつけられているのがわかります。

午後3時を過ぎても一向に解消しないのでどうしようかと思ったのですが、この攻撃が blog.starstonesoft.com あてではなく、IPアドレスあて(49.149.134.220あて)であれば、ルータのグローバルIPアドレスを変えればいいのではと思いつき、ルータの機能でWAN側MACアドレスを変更してから接続しなおしましたところ、グローバルIPアドレスが変化しまして、攻撃も届かなくなりました。(幸い動的IPアドレスのインターネット接続なのでよかったです。 固定IPだったら逃げられません。)

また同じようなことがあるかもしれませんが、今後はもう対策がわかったのですぐ対応できそうです。

しかし、なんでこんな上り0.7MbpsしかないADSL回線の、Raspberry piをサーバーにしているようなブログに攻撃をかけるんでしょうか。 弱くてすぐ勝てそうだから?


starstonesoft

投稿者: starstonesoft

1995年からフィリピン在住。 海外生活に役立つことなどを紹介していきたいです。