自宅サーバの「アクセス観測所」を眺めていたら、統計が完全に意味をなさなくなっていた。原因を追ったら、たった1つのIPアドレスが全アクセスの約88%を占めていた。記録として残しておく。
ログの全 60,374 件のうち、34.130.111.66 からのアクセスが 53,018 件。割合にして 87.8%。
| 項目 | 値 |
|---|---|
| 総アクセス数 | 60,374 件 |
34.130.111.66 からのアクセス |
53,018 件(87.8%) |
| 期間 | 2026-06-15 19:43 〜 2026-06-16 01:08(約5時間25分) |
| 平均レート | 約 2.7 req/秒 |
| メソッド | すべて GET |
| ユニークなパス数 | 53,018(=毎回ちがうパス) |
ランキングも時間帯別グラフも、ほぼこの1台の動きを描いているだけ。観測所としては機能停止状態だった。
リクエストされたパスを見れば一目瞭然だった。
/zend.zip /zend.tar.gz /zend.tar.bz2 /zend.7z /zend.sql.gz ...
/yii.zip /wordpress.zip /wwwroot.tar /web_backup.gz ...
/web/wp /web/wwwroot /web/website_backup ...
zend / yii / wordpress / wwwroot / wp_backup / website_backup … といったありがちなプロジェクト名・ディレクトリ名に、.zip .tar .tar.gz .tar.bz2 .tar.xz .7z .rar .gz .bz2 .zst .sql .sql.gz … と考えうる限りの圧縮・アーカイブ拡張子を総当たりしている。さらに / 直下だけでなく /web/... のようにプレフィックスを変えて何周もする。
つまり「置きっぱなしのソースコードbackupやDBダンプが公開ディレクトリに転がっていないか」を片っ端から舐めていくワードリスト型スキャナ。ヒットすればソース一式やDBを丸ごと持っていける、という狙い。
当然うちには該当ファイルはなく、全部 404 で返している。
34.130.111.66 → Google Cloud (northamerica-northeast2, Toronto, Canada)
reverse: 66.111.130.34.bc.googleusercontent.com
hosting: true / proxy: false
User-Agent: Mozilla/5.0 (X11; Linux x86_64) ... Chrome/124.0 (詐称)
Google Cloud のホスティングIPから。家庭の回線ではなく、クラウド上に立てたスキャン用インスタンス。User-Agent は普通の Chrome を名乗っているが、5時間で5万回・毎回ちがうパスを叩く挙動は人間ではありえない。クラウド業者に乱用報告(abuse report)を出せる相手ではある。
404 が連続するIPや異常レートのIPを統計から外すフィルタを観測所に足したい。404 で弾いており実害なし。バックアップファイルを公開ディレクトリに置かない、という基本も再確認できた。次にやること:観測所の集計に「ボット/スキャナ除外ビュー」を追加する。生ログはそのまま、表示だけ賢くする方向で。