嫌らしいアクセス。

うちのサーバーに負荷が掛かってるなーと思ってログを調べてみると、サーバー内部からのアクセスで負荷が増えていました。
そう、うちのブログとその配下はサーバーIPからのアクセスはphpやapc等の中間キャッシュを使わずに出力するようにしてあるのです。

では何故サーバーからアクセスされているのか・・・
Apacheのログを見てもサーバーからのアクセスは記録されていませんでした。

Apacheのログとは別にあるブログのアクセスログから検索してみると一発でわかりました。

ブログ
Date:2013/01/05 05:34:56, Addr:127.0.0.1, ID:1117, Name:POST-20090204-1117, KerberosPlugin:wp-KerberosSystem.php#blogcontent
Date:2013/01/05 06:43:02, Addr:127.0.0.1, ID:DLM-34, Name:[MC] Selectable Paintings for Forge, KerberosPlugin:wp-KerberosSystem.php#downloadmanager

Apache
[2013/01/05 05:34:56] (-)150.70.75.163 - "GET /20090204-1117/ HTTP/1.0" 200 53025
[2013/01/05 06:43:02] (-)150.70.75.163 - "GET /download/34 HTTP/1.0" 200 146850

ちゃんと獲得できていないようなので、試しに150.70.75.163のアクセスに対してログをとるようにしてみたところ・・・
 ルーター: 150.70.75.163
 Apache: 150.70.75.163
 php: $_SERVER['REMOTE_ADDR'] = 127.0.0.1
 perl: $ENV{'REMOTE_ADDR'} = null
という結果になりました。

PHPとPerlどちらもちゃんとIPアドレスを獲得できていない・・・
うちのブログはキャッシュの切り替えはPHPで行っているのでこれは致命的。
 
何でこうなってるのかわからないので、nslookup、digを実行してみた。
DNSはGoogle Public DNS

[nslookup wtp-g4-maya9.sjdc]
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

*** google-public-dns-a.google.com can't find wtp-g4-maya9.sjdc: Non-existent domain


[nslookup 150.70.75.163]
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Name:    wtp-g4-maya9.sjdc
Address:  150.70.75.163


[dig 163.75.70.150.in-addr.arpa]
QUESTION
163.75.70.150.in-addr.arpa. IN TXT

AUTHORITY
70.150.in-addr.arpa. 3600 IN SOA ns1.sdi.trendmicro.com. dcshostmaster.trendmicro.com. 2396 60 600 86400 3600


[whois whois.nic.ad.jp 150.70.75.163]
Network Information:
a. [Network Number] 150.70.0.0/16
b. [Network Name] TRENDMICRO
g. [Organization] Trend Micro Incorporated
m. [Administrative Contact] YT7986JP
n. [Technical Contact] TH7667JP
p. [Nameserver] aus1.akam.net
p. [Nameserver] eur2.akam.net
p. [Nameserver] eur5.akam.net
p. [Nameserver] ns1-155.akam.net
p. [Nameserver] ns1-72.akam.net
p. [Nameserver] usc4.akam.net
p. [Nameserver] use1.akam.net
p. [Nameserver] usw1.akam.net
[Assigned Date] 1991/07/02
[Return Date]
[Last Update] 2012/07/30 17:23:03(JST)

どうやらトレンドマイクロが迷惑なアクセスをしているようです。
nslookupはISPのDNSへ切り替えても同じ結果でした。
 
このアクセスはトレンドマイクロ社のセキュリティソフトに搭載されている「Webレピュテーション」という物のクローラーみたいです。
誤検知で有名なあれですねw
 
しかも、このクローラーのお行儀が悪い、悪すぎる。

何度も何度も何度もリクエストを飛ばしてくる。

更新日の確認とかだけならHEADを使えばいいのに・・・
サイトが発行する更新日やサイズが信用ならないのはわかるけど、大容量ファイルのデータまでもお持ち帰りし、その挙句に同じファイルへ何度もリクエストを飛ばす。

記事だけならまだそんなに負荷はないけれど・・・そのほかのファイルまで来るとリソースを食いまくる。
人が使うためのリソースをクローラーがガッツリもっていくのは納得できない。
 
そしてこのアクセスをブロックすると「未確認サイト」や「危険サイト」と扱われ、セキュリティソフト使用者に警告がでるようになるそうです。
その結果サイトの評価がガタガタになると。
 
まあ私のサイトは個人ブログなので・・・トレンドマイクロの評価がなんじゃい!って感じですけど、
迷惑なアクセスをしてそれをブロックされたら有無を言わずアウト。
そんな事になるとやっぱりイラッとしますねー

そして検索していると、2chのスレが引っかかたので見てみると、アクセスを「ブロック」するとダメみたいなので、
phpでトレンドマイクロのIPを獲得できるようになるまでトレンドマイクロのサイトにリダイレクトするようにしてやろうと思います。
これで効果がでるかわかりませんがw

しかしなんで環境変数からIPを獲得できないのかが気になります・・・

関連するかもしれない記事



トラックバックURL


スパム対策のためトラックバックURLを動的に生成しています。
生成されるトラックバックURLはコンテンツURLと紐付けされますので、コンテンツURLで指定したサイト以外では使用できませんのでご注意ください。
トラックバックの注意事項などの詳しい説明は About ページを閲覧してください。
「コンテンツURL」を入力し「URL生成」ボタンを押してください。
トラックバックを送る際はあなたの記事やコンテンツにこの記事のURLを書くかリンクしておいてください。
URLがない場合はスパムとして削除され以降の全トラックバックは拒否されます。

コメントを残す

メールアドレスは公開されません、また は必須項目です。
このブログに初めてコメントする方は こちら をご覧ください。


画像認証は待機中です、先にコメント本文を入力して下さい。

コメントを送信しています、しばらくお待ち下さい...
(Akismetスパムデータベース及びブラックリストへの照会を行っています)


キャンセルをした場合でもコメント投稿が完了している場合があります