日課になっているアクセス解析をチェックしていたら、よく分からない所から大量のアクセスがダイレクトに(リファラ無しの直接アクセスが)来てる・・・。
ドメイン名を見てみるとgoogleが含まれているから、クローラーやAdSenseに関するロボットかな?と思ったのですが、アクセス解析にロボットのアクセスが紛れ込むと正確なデータ分析や訪問者の把握が出来ない。
これは困るなぁ。ということで、このアクセスはなんだろう?と少し調べてみました。
[toc]
ドメインを調べてみよう
まずはアクセス元のドメイン部分googleusercontent.comにアクセスしてみたらERR_NAME_NOT_RESOLVEDのエラーが。
生のログからユーザーエージェントを調べてみたら普通のブラウザからでGoogleに関するロボットではない模様。
User Agent : Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/534.34 (KHTML, like Gecko) PhantomJS/1.9.8 Safari/534.34
次に検索エンジンで調べてみたら、以下のサービスだということが分かりました。
COMPUTE ENGINE
https://cloud.google.com/compute/?hl=ja
スケーラブルで高性能な仮想マシン
Googleが提供するサーバーを利用した個人によるアクセスでした。
COMPUTE ENGINEって何?
ざっくりと説明すると、Googleが提供しているVMサービスです。
借りた人が何をするかと言えば、Googleが実際に使っているシステムの一部をお金を出して貸り、個人でWebアプリケーションなどを作ったり出来るサービスですね。
Googleのシステムをそのまま使えるため、高性能・高安定・物理的なセキュリティの高さなどが売りみたいです。
そしてGoogleのお膝元ですから、当然提供されるドメインにもgoogleという名前が含まれるのですが、知らない人からしたらGoogle本家が何か調べてるのかな?と勘違いしてもおかしくない。
紛らわしい(;^ω^)
結局の所.bc.googleusercontent.comから来るアクセスはGoogleのリソースを使っている、ただの個人ユーザーでありGoogleとは全く関係ないアクセスでした。
アクセスしてくる人は何をしているの?
これは推測になるのですが、大量にアクセスが来ている人は何かしらのアプリケーションでサイトの脆弱性を探している可能性があります。
普通にサイトを閲覧するだけなら、一回のアクセスで済みますし。何よりWebアプリケーションでサイトを閲覧する必要がどこにあるのでしょうか?サイトを見るのであればブラウザからアクセスをするのが一般的です。
もしくはスクレイピングと言って、あなたのサイトデータを抽出している可能性もありますが、どちらにせよ迷惑なアクセスに違いありません。
大量のアクセスによってサーバーに負荷が掛かり、転送量の圧迫にもなりますからね。
もし該当するアプリが思い浮かばない・利用をして無い人は以下のアクセス禁止の対応を取っておくと安心できるでしょう。
.htaccessでアクセス禁止処理をしよう
.bc.googleusercontent.comはGoogle本家とは関係ない個人のアクセスだということが分かったので、無難にアクセス禁止処理にしておきましょう。
放置しておくとログが汚されますし、サーバーに負荷にと良いことなんて1つも無いですからね。
さてアクセス禁止処理を行う方法についてですが、ここでは.htaccessファイルを扱います。
URLが見つかりません。.htaccessの一番上に以下の記述をコピペして貼り付けておきましょう。
# アクセス禁止処理
order allow,deny
allow from all
deny from *.bc.googleusercontent.com
1行目のorder allow,denyは最初に許可(allow)、次に拒否(deny)の順番で記述を行いますという宣言。
2行目のallow from allは全てのアクセスを許可します。という宣言
3行目のdeny from ~は個別にドメインを指定して、最初に全てのアクセスを受け入れると宣言はしたけれど、これらのアクセスは別!アクセスを拒否してください。という宣言です。
WordPressの.htaccessを編集したら以下のような記述になるでしょう。
# アクセス禁止処理
order allow,deny
allow from all
deny from *.bc.googleusercontent.com
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
上記を参考に.htaccessを編集してアクセス禁止処理を行って下さい。
編集後は忘れずにアップロードして.htaccessを更新しておきましょう。
おわりに
被害に遭われたサイトを見てみると、feedなどにアクセスして記事を引っ張ってたり(コピペサイトを作成する際に使われやすい)
xmlrpc.phpにアクセスして脆弱性を探してたりと、碌な使い方をされてないみたいですね。
Googleというドメインが含まれるから、スパムに思われにくい・踏み台に使いやすいとでも思ってるのかな?GoogleのVMサービスは従量課金で多量のアクセスだと赤字になりそうな気もするけど、スパマーのすることはよく分かりませんね┐(´~`;)┌
今後もこういった悪質な攻撃に対応できるよう、サイトのセキュリティ対策は常にしっかりとしておきましょう。
承認後に表示(反映まで最長1日)
Discordにリンクを貼ったりすると「.bc.googleusercontent.com」からアクセスされるみたいです。(リンクのプレビュー表示とかにも使われているかもしれません)
参考になりました。どうもありがとうございました。