2018年に入ってから当ブログを対象とした犯罪行為が起きているのですが(関連: jz5.jp / jz5 を装うメールやアカウントに注意してください)、今朝 当ブログのサーバーに対し DDoS 攻撃(SYN flooding)がありました。
このブログは、2016年に12月から ConoHa VPS に移行し、KUSANAGI + WordPress で運用 しています。
外部からの通信を遮断される
10時頃 ConoHa お客様センターより次の内容のメールがありました。
- 利用している VPS に対し外部からの不正なトラフィック(DDoS 攻撃)を検知した
- 外部からの通信を遮断するよう制限を実施した
確認したところ次のような状態でした。
- VPS はシャットダウンはされていない
- Web のコンソール画面から操作はできるが、リモートへ接続できない状態(ファイルを外部へ送れない)
/var/log/messages を確認すると「kernel: TCP: request_sock_TCP: Possible SYN flooding on port 80. Sending cookies. Check SNMP counters.」とログが記録されていました。
後で問い合わせで確認したところ、攻撃開始から約8分で通信遮断、その20分後にメールで連絡、という対応でした。
別の VPS で復旧
いつ・どうなれば制限が解除されるのか問い合わせたところ以下の回答でした。
- 制限は原則解除されない
- 別の IP アドレスでの利用を推奨する。現在の VPS の「イメージを保存」し、新規に VPS を申し込みリストアしてはどうか
新規 VPS 申し込みとは、もちろん追加支払いになるわけですが、手早く復旧してかったので新規 VPS にイメージをリストアしました。DNS の設定も新規 IP アドレスにアクセスできるよう変更してブログの復旧を完了しました。
IP アドレスが変わることで何か不都合がでるかと思いましたが、何もすることなく KUSANAGI + WordPress が動作しています。
イメージの保存・リストアはさほど時間かかりませんが、私が対応するまでの時間もあるので、約2時間40分ブログにアクセスできない状態でした。
今後
過去の事例を見ると、DDoS 攻撃を受けると、退会となってしまう場合もあるようですが、それまではとりあえず、新規の VPS に置き換える手段で対応しようと思います。
また、予定外の出費ですが、その他のサーバーにすぐ移行もできるように WordPress Jetpack の有料プランに申し込み、VaultPress によるバックアップも行いました(簡単に別の WordPress へリストアできるはず)。
追記: 少なくとも新たに2回 DDoS 攻撃があり、2回通信遮断の措置がされました。現在は Cloudflare を使用し DDoS 攻撃の対策としています。