カテゴリ:インターネット
戻る  トップ

ウクライナからのwebチェック?

2019.05.22

 これまで遭遇したことの無いwebアクセスが来る様になりました。
 昼夜問わず、約6分毎に /(ルート) をGETしに来ています。
 
178.137.xx.xx - - [21/May/2019:19:43:29 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36 OPR/55.0.2994.44" "-"

178.137.xx.xx - - [21/May/2019:19:49:49 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36" "-"

178.137.xx.xx - - [21/May/2019:19:55:26 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36" "-"

178.137.xx.xx - - [21/May/2019:20:00:40 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.84 Safari/537.36" "-"

178.137.xx.xx - - [21/May/2019:20:06:19 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.54" "-"

178.137.xx.xx - - [21/May/2019:20:11:45 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.64 (Edition Yx)" "-"

178.137.xx.xx - - [21/May/2019:20:17:15 +0900] "GET / HTTP/1.0" 200 2790 "http://kappagojira.ddns.net/" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.146 Safari/537.36" "-"
 ・
 ・ (以降、同じペース)
 ・

178.137.xx.xxのwhois情報を参照してみると、ウクライナのKyivstarという通信事業者の様です。

Kyivstar加入者の誰かが自動巡回ツールか何かでチェックしているのかな?と思ったのですが、ユーザエージェント情報が毎回微妙に違うのは何なんだろ?
全てChromeではありますが、バージョン番号が幾つか異なるんですよね。

集計してみたら、全部で25通りでした。
 件数 ユーザエージェント(Chromeバージョン)  
 ------------------------------------------------------------   
 31   67.0.3396.99 Safari/537.36   
 20   67.0.3396.87 Safari/537.36        
 19   68.0.3440.106 Safari/537.36     
 19   68.0.3440.106 Safari/537.36 OPR/55.0.2994.44      
 18   66.0.3359.181 Safari/537.36       
 16   67.0.3396.79 Safari/537.36       
 14   66.0.3359.170 Safari/537.36 OPR/53.0.2907.99    
 12   67.0.3396.87 Safari/537.36 OPR/54.0.2952.64     
 10   67.0.3396.87 Safari/537.36 OPR/54.0.2952.54      
  9   67.0.3396.62 Safari/537.36        
  9   68.0.3440.84 Safari/537.36       
  8   49.0.2623.112 Safari/537.36       
  8   67.0.3396.87 Safari/537.36 OPR/54.0.2952.64 (Edition Yx)     
  7   67.0.3396.87 Safari/537.36 OPR/54.0.2952.51       
  6   68.0.3440.106 Safari/537.36 Kinza/4.9.1     
  5   58.0.3029.110 Safari/537.36 Edge/16.16299       
  5   67.0.3396.87 Safari/537.36 OPR/54.0.2952.71       
  5   67.0.3396.99 Safari/537.36 Kinza/4.8.2      
  5   68.0.3440.75 Safari/537.36       
  4   66.0.3359.170 Safari/537.36 OPR/53.0.2907.68       
  3   64.0.3282.140 Safari/537.36 Edge/17.17134       
  3   66.0.3359.170 Safari/537.36 OPR/53.0.2907.106       
  2   65.0.3325.146 Safari/537.36       
  1   65.0.3325.181 Safari/537.36       
  1   66.0.3359.181 Safari/537.36 Kinza/4.7.2  
 ------------------------------------------------------------  

webサーバの監視システムみたいなアクセスですが、なんでウクライナから来るのか謎です。

しばらく様子見て、変化ありましたらここに追記します。

 
2019.5.22(水) 10:00

一向に状況変化しないので、思い切って特設ページ(?)へリダイレクトさせてやりました。

【nginx.confに追記】
        # 2019.5.22
        # 6分毎にHTTP-GETしているので警告画面にリダイレクトさせてみた
        if ( $remote_addr  = '178.137.xx.xx' ) {
        rewrite /$ http://kappagojira.ddns.net/What_is_it_for.html redirect;
        }

【特設ページ】


すると、13:42を最後に止まりました。 間違い!
自動iptablesが作動していました。
 
[root@kappagojira /]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

DROP       all  --  178.137.16.0/22      0.0.0.0/0
DROP       tcp  -- (省略)

iptables -D INPUT -s 178.137.16.0/22 -j DROP で解除します。

15:49:56 今度こそ止まった様です。
 ・
 ・
 ・
178.137.xx.xx - - [22/May/2019:15:44:28 +0900] "GET / HTTP/1.0" 302 
178.137.xx.xx - - [22/May/2019:15:44:29 +0900] "GET /What_is_it_for.html HTTP/1.0" 200 
178.137.xx.xx - - [22/May/2019:15:44:29 +0900] "GET / HTTP/1.0" 302 


178.137.xx.xx - - [22/May/2019:15:49:55 +0900] "GET / HTTP/1.0" 302 
178.137.xx.xx - - [22/May/2019:15:49:55 +0900] "GET /What_is_it_for.html HTTP/1.0" 200 

特設ページに「If you like, please email me.(よかったらメールください)」と書いてますが、来てません。
何をしていたのか知りたいです。

 

2019.5.22(水)18:55
17:29再開して、18:55を最後に止まった様です。何か様子をうかがってる?
 ・
 ・
 ・
178.137.xx.xx [22/May/2019:15:49:55 /What_is_it_for.html
178.137.xx.xx [22/May/2019:17:29:47 /What_is_it_for.html
  ( ~省略~ )
178.137.xx.xx [22/May/2019:18:44:23 /What_is_it_for.html
178.137.xx.xx [22/May/2019:18:50:26 /What_is_it_for.html
178.137.xx.xx [22/May/2019:18:55:58 /What_is_it_for.html
(以降、アクセスなし)
 

2019.5.29(水) 14:00

一週間経過しますが、あれ以来、来なくなりました。何だったんでしょう・・?
 
2019.6.24(月)6:47
また来始めました。
178.137.xx.xx [24/Jun/2019:06:47:14 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:06:47:16 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:06:47:16 "GET / HTTP/1.0"

178.137.xx.xx [24/Jun/2019:06:54:18 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:06:54:19 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:06:54:20 "GET / HTTP/1.0"

178.137.xx.xx [24/Jun/2019:07:01:36 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:01:37 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:01:37 "GET / HTTP/1.0"

178.137.xx.xx [24/Jun/2019:07:08:36 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:08:36 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:08:37 "GET / HTTP/1.0"

178.137.xx.xx [24/Jun/2019:07:15:17 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:15:18 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:15:18 "GET / HTTP/1.0"

178.137.xx.xx [24/Jun/2019:07:22:10 "GET / HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:22:10 "GET /What_is_it_for.html HTTP/1.0"
178.137.xx.xx [24/Jun/2019:07:22:11 "GET / HTTP/1.0"

 

・・と、今度は約7分毎のアクセスでしたが、7:22を最後に止まりました。

大量なアクセスでもなく、特に害がある訳ではないのですが、完全に機械的な動きではない様にも見えて気になります。

 
2019.7.4(木)6:56
今度は10分毎です。段々間隔が長くなっている?
178.137.xxx.xxx [04/Jul/2019:06:56:35 /
178.137.xxx.xxx [04/Jul/2019:06:56:36 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:08:28 /
178.137.xxx.xxx [04/Jul/2019:07:08:28 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:18:53 /
178.137.xxx.xxx [04/Jul/2019:07:18:54 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:29:06 /
178.137.xxx.xxx [04/Jul/2019:07:29:06 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:39:19 /
178.137.xxx.xxx [04/Jul/2019:07:39:20 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:49:52 /
178.137.xxx.xxx [04/Jul/2019:07:49:53 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:07:59:52 /
178.137.xxx.xxx [04/Jul/2019:07:59:52 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:08:09:48 /
178.137.xxx.xxx [04/Jul/2019:08:09:48 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:08:19:57 /
178.137.xxx.xxx [04/Jul/2019:08:19:58 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:08:30:10 /
178.137.xxx.xxx [04/Jul/2019:08:30:11 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:08:40:18 /
178.137.xxx.xxx [04/Jul/2019:08:40:18 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:08:50:26 /
178.137.xxx.xxx [04/Jul/2019:08:50:26 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:09:00:36 /
178.137.xxx.xxx [04/Jul/2019:09:00:37 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:09:10:49 /
178.137.xxx.xxx [04/Jul/2019:09:10:49 /What_is_it_for.html
178.137.xxx.xxx [04/Jul/2019:09:20:54 /
178.137.xxx.xxx [04/Jul/2019:09:20:55 /What_is_it_for.html

 

コメント  説明

 



カテゴリ:インターネット

戻る  トップ