MODXサイトから25通連続でError mail 【解決済み】

[tomophy]

-----
ご利用のサーバ：CoreServer
MODXのバージョン：1.0.14J-r8
PHPのバージョン：5.3.29
MySQLのバージョン：5.1.73
ブラウザ：(管理画面の操作ではないので省略)
-----
Error mail from [サイト名]という件名で以下の本文のメールが25通連続で届きました。

[URL] http://サイトのURL/
[Source] Parser - else $this->conn = mysql
[IP] 27.153.163.242
[Host name] 242.163.153.27.broad.pt.fj.dynamic.163data.com.cn

上記の内容から、いかにも中国からの怪しげなアクセスであることはわかるのですが、悪意のある何かを仕込まれた可能性はあるのでしょうか。
見た目には特にデータの改ざんはなさそうなのですが、念の為に、どこか確認すべき点があれば、教えていただきたく、よろしくお願いいたします。

[soushi]

soushiです。

恐らくですが短期間に沢山のアクセスがありMySQLへの接続制限を越えてしまったためにエラーになったのではないでしょうか。
以下のログやステータスを見るとなんとなく何があったか推測できると思います。

• Webのアクセスログ

該当時間のアクセス量を確認できます。
またどのようなURL対してアクセスが発生したか、またそのアクセス元の確認ができます。

• Web/PHPのエラーログ

例えばMySQLへのコネクション数が上限に達していた場合、こちらに何かしらのログが残っていると思います。
(設定次第で残ってないかもしれません)
またそれ以外に何か参考になるログが残っているかもしれません。

• MySQLのステータス

もしphpMyAdminが利用できれば「状態」メニューから最大同時接続が確認できます。
これが設定されている設定上限と同じであれば接続があふれたタイミングがあったと推測できます。
phpMyAdminが利用できなければ「show status;」のSQLクエリを発行すればMax_used_connectionsで最大接続数が確認できます。

何かを仕込まれたかどうかの有無は上記の状態から推測して判断する事になると思います。
「謎の大量アクセスだったね」で終わってしまう事もよくあります。
またその中国からのアクセスが発生した後からサーバの挙動に変化がみられるようであればより詳しく調査した方がいいかもしれません。
(特定時間にやたらアクセスが重くなった、よくわからないURLへのリクエストログが増えた、知らないHTMLが時折埋め込まれている等)

[tomophy]

soushiさん、アドバイスいただきましてありがとうございます。

MODX管理画面→レポート→イベントログを見てみると、確かに「データベースの接続上限を超えていた」というようなエラーメッセージがありますね。

一連のイベントログがすべて同じIPアドレスであるところを見ると、「サイトがなかなか表示されずにイライラして何度もリロードしまくった」ということのようですね。こういうときは「イベントログ」を見れば何が起きたか推測できるとわかってよかったです。ありがとうございます。

[tomophy]

後日、レンタルサーバ会社から「当該サイトの負荷が過剰なので対策を取ってほしい」という連絡を受けました。単にイライラしてリロードしまくった程度の話ではなさそうなので、.htaccessで怪しげなIPアドレスのアクセスを拒否するよう設定しました。


しかし、その後も負荷率が下がらず、上記のアクセスが原因ではないことがわかりました。

レンタルサーバ会社に負荷率が上がったタイミングを調べてもらったところ、MODXを1.0.14J-r2から1.0.14J-r8に上げたタイミングの直後とわかりました。

当該サイトは、Mobile Template Switcherを入れてレスポンシブにするために、キャッシュを切っていますが
そのこととも関係があるのでしょうか。

「解決」扱いにしてしまいまった後で恐縮ですが、お気づきの点があれば、教えていただいてもよろしいでしょうか。

[soushi]

1.0.14J-r8付近はPHx等利用時に負荷が高い現象があるようです。
先日リリースされたr9を試してみる事は可能でしょうか。
(仕様変更も含まれているので一度テスト環境等で動作を確認して作業していただければと思います)

また負荷を特定したい場合、MODXの以下のタグを使う事で特定できるかもしれません。

http://modx.jp/docs/tags/timing.html

HTMLのコメント<!-- -->の中に埋め込んでおき、どのページでPHPの実行時間がかかってるかメモリの利用量が大きいか確認できます。
また負荷が高そうなページを特定できたら、そのページで利用しているスニペットやMODXタグを少しずつ外したりする事でもう少し細かく追う事ができます。

原因が特定できたら別の解決方法を探る、もしくはMODX本体に改善の余地がある場合はフォーラム等で報告していただけるとみんなで検討することも可能です。

[yama]

https://www.google.co.jp/search?q=163data+cn
こちら参考になりますでしょうか

[tomophy]

soushiさん、アドバイスありがとうございます。

r9にアップデートしたので、しばらくこれで様子を見てみます。また、教えていただいたベンチマークタグの[^q^] クエリーカウントを試しに埋め込んでみましたが、その結果はどこで見ることができるのでしょうか

[tomophy]

yamaさん、.163data.com.cnの情報ありがとうございます。

リンクを見れば見るほど、yamaさんの読みがあたっている気がしますね。とりあえず.htaccessでアクセス拒否をしました。ただ、.163data.com.cnの連中は.htaccessでのアクセス拒否を見越したアタックを仕掛けているようなので、レンタルサーバ会社にも情報提供して対策を依頼してみます。

[soushi]

soushiさん、アドバイスありがとうございます。

r9にアップデートしたので、しばらくこれで様子を見てみます。また、教えていただいたベンチマークタグの[^q^] クエリーカウントを試しに埋め込んでみましたが、その結果はどこで見ることができるのでしょうか

リソースの本文やテンプレートにタグを埋め込む事でそのままそのタグがベンチマーク結果に変わります。
デモサイトでサンプルを作りました。

http://150327003732-6580.evo.demo.modx.jp/

クエリ数やクエリの実行時間が表示されています。
ちなみにキャッシュは無効にしています。

http://150327003732-6580.evo.demo.modx.jp/manager/

管理画面で対象リソースを見ると[^q^]等をそのまま本文に張り付けています。
本番サイトで試す場合は<!-- -->で囲むとHTMLのコメントとして画面には表示されません。
ただソースを見る事で確認はできるので、確認が終わればベンチマークタグは削除した方がいいと思います。

[tomophy]

soushiさん、デモサイトでの例示ありがとうございます。おかげさまでよくわかりました。当該サイトのベンチマークは、「クエリーカウント:11、クエリータイム:0.0113秒、メモリー使用量:3.67MB」でした。対策以前のベンチマークを取っていないので比べられませんが、対策後はさほど負荷がかかっていなさそうですね。

アドバイスいただいたお礼を兼ねて、今回の件の原因と対策を整理します。原因はやはり.163data.com.cnからの過剰アクセスのようです。MODXのアップデートと.163data.com.cn対策を同時並行したので断定はできませんが、yamaさんにご紹介いただいた

https://www.google.co.jp/search?q=163data+cn

の検索結果から、

http://shattered-blog.com/archives/3976

の設定を.htaccessに仕込んだところ、レンタルサーバの管理画面に表示されるサーバ負荷率が大幅に下がりました。この結果から、.163data.com.cnが原因だろうと推定しました。皆さん、ありがとうございました