サーバーへの攻撃には、SQL-Injectionなどが有名です。そうした攻撃をログから調べてくれるサイトが有ります。iLogScannerと言うツールを使って検出をしてくれます。当方の例では、スタートしてから11分ほど掛かりました。LogFile2もそれを模して、メニューにWeb Attackの項目を追加しました。

　SQL_Injectionの検出が結構難しくて、LogFile2とiLogScannerでは、件数に大きな差が出来てしまいました。これからも、研究の余地有ですね。他の、OS_InjectionとDir_traversalは、件数と項目が一致したので、取りあえず良しとしました。

　iLogScannerには無くて、LogFile2に追加した項目に、Big_Requestと名付けて500文字以上の要求IPをリストします。そもそも500文字を超える要求は、何かを目論む目的を含む要求で、その目的が明確にまだ定義されていなくとも、注意すべき相手だと言う事で、付け加えました。

　今迷って居るのは、「％」を要求の中に入れているIPをどうするのか、迷って居ます。これも、上記と同様に、そもそも送れないコードを送る工夫として「％」を用いる訳で、名前がまだなくとも、まさにこれがInjectionだからです。

　問題は、「％」を用いる要求に、まともな要求が有るのか。答えは、無しです。だから、ずべてリストすべきと思うのですが、そんな過激な考えは、まだ無い様で、そこがためらいになって居ます。ですが、これを定義すると、iLogScannerを包括し、上回る検出感度となります。

　暫くして、気持ちがそちらに向かったら、追加するかも知れません。

　攻撃者のIPを調べると、ある1日だけ、或いは、偽装IPでその日だけ訪れるケースと、頻繁に繰り返すケースが有るようです。繰り返しは、そのIPを禁止リストに追加するなりの対策ですね。

　国名は、一般に言われている通り、韓国、中国ですね。リストされたIPにPINGを送ると、なんと通るんですね。今も健在で悪さを専門に活躍しているのでしょうか。となると、そのIPアドレスを公表するサイトを設けるのも、必要かも知れませんね。例え、それが偽装で使われたIPでも、事実が有る訳ですから。

　昨日も、110.208.109.250で中国から書き込みに失敗した様子が、ログに刻まれました。日本を標的にするのは、国民の関心を外に向ける為の為政者の都合でしょうか、私個人にとっては、きわめて迷惑な話ですね。