うー、アタックだなぁ

映像配信サーバのログを見ていたら、何気にアタックが。
基本的にはパスワードクラック系が多いはずだけど、ちょっと雰囲気が違ったので気になった。
ユーザ名・パスワードなしで設定ファイルにアクセスしようとしてくるもの。

おおよそ1か月間に500回ほどの不正アクセスが試され、36のIPアドレスから同じような攻撃を受けている。

不正アクセス例
017/03/27 11:29:36 [info] 8789#0: *1148 no user/password was provided for basic authentication, client: 187.172.132.24, server: localhost, request: “GET /phpMyAdmin/scripts/setup.php HTTP/1.1”, host: “*.*.*.*”
2017/03/27 11:30:54 [info] 8789#0: *1149 no user/password was provided for basic authentication, client: 187.172.132.24, server: localhost, request: “GET /pma/scripts/setup.php HTTP/1.1”, host: “*.*.*.*”
2017/03/27 11:32:12 [info] 8789#0: *1150 no user/password was provided for basic authentication, client: 187.172.132.24, server: localhost, request: “GET /myadmin/scripts/setup.php HTTP/1.1”, host: “*.*.*.*”

ログ解析で利用したコマンド
egrep ‘no user/password’ error.log |awk ‘{print $14}’ |sort |uniq

errorログの14列目:IPアドレスのみを抽出し、昇順に並び替え、同じIPアドレスは一行で表示させた。