今日はエラーページ絡みで、2つの話題を書こうかと思います。
こちらはすでに、ブログの方で紹介済みのネタでありますが、ゲームが遊べる404エラーページが遊び心ありすぎというネタに触発されて、当サイトの404ページ(実在しないURLを指定した場合に表示されるエラーページ)も遊びネタを入れてみました。
www.inasoft.org内で、適当に間違えたURLを入力すれば出てきます。
簡単なものですが、一度作ってみると、さらに面白いものを作りたくなってくるから不思議です。エイプリルフールに向けて、何か作ってやろうかなぁみたいな、そんな気分になってきます。
404ページの内容を自由に書き換える方法は、どのようなWebサーバを使っているかによって変わっていますが、.htaccess を使えるサーバならば、このページの中にある「エラーメッセージを変更する」に書いてある「ErrorDocument 404 ~」の記述を使うことで変更できます。(お使いのサーバによっては、この指定が禁止されている場合もあり、その場合は使えません)
抜粋すると、エラーページの中に、次のようなメッセージが登場します。(これを見るためには、JavaScriptが有効になっている必要があります)
ページが見つかりません
リクエストされたページは見つかりません。URLをお確かめください。
Not Found - The requested URL was not found on this server.
もう一つ、エラーページ絡みで。
昨今、次のような妙なアドレスへのアクセスが、1秒間に2回、多いときで連続120回程度続くことがありました。(下記は一例です)
また、次のようなアドレスへのアクセスが、不定期に行われることもあります。
ちょっと調べると分かりますが、後者の方は安全な類です。
_vti_binとMSOfficeは、Office製品の「WEBディスカッション機能」を有効にしている場合に、勝手にアクセスされてくるアドレス。
apple-touch-icon.pngとapple-touch-icon-precomposed.pngは、iPadやiPhoneなどが画面表示用アイコンを要求してくる場合に、とりあえずアクセスしてくるアドレス。
favicon.icoは言わずと知れた「ファビコン」というやつで、一般的なWebブラウザが、URLに対して表示するアイコンを要求してくる場合に、とりあえずアクセスしてくるアドレスです。
で、問題は前者の方。何かを狙っているかのような、あまりにも怪しげなアクセス記録です。
おそらく、一部の有名なページ整形ツール・ブログツールの脆弱性や、デフォルト設定を狙った攻撃の第一歩であることは確かですね。もちろん、手書きのHTMLを書いている当サイトでは、こうしたURLにアクセスしても何も起きませんから、ただの404エラーとしてはじかれます。
ちなみに、どういった目的で攻撃を仕掛けようとしているのか、定かではありませんが、こうしたアクセスの大半が、大陸にある隣国である大国からであることを踏まえると、昨今ニュースサイトを騒がしていた、「政治的な意図を込めたメッセージを、日本国内のWebサイトに表示させる」ことを目的としたクラッキング行為であろうと思われます。
まぁ目的は何にせよ、そういったところへ、わざわざ上記に書いたような404ページを表示するのはシャクでしたので、403ページを表示するようにしておきました。
具体的には、次のような記載を .htaccess に加えています。
もちろん、普通であれば、こういうのが表示されなくても、404になるだけで十分なので、これは過剰な対策とも言えるのですが、上記の通り、404すら表示するのがシャクだということで、こういうのを加えています。
ちなみに、アクセス元が大陸にある隣国である大国からであることも踏まえまして、その国からのアクセスを全面遮断する措置も同時に行っています。
今はずいぶんと便利な時代になったもので、ある国の国内で使われているIPアドレスの一覧は、比較的容易に取得できるようになっています。これは定期的に更新する必要はありますが、そうして手に入れたIPアドレス全てについて、.htaccess で deny from xxx.xxx.xxx.xxx を指定する地道な作業を行いまして、それを実現しています。
また、乗っ取りを受けていると思われる日本国内の一部のIPアドレスについてもアクセス禁止をしました。
(ネットでそのIPアドレスをググると、「このIPアドレスはブラックリスト入り」みたいな記載をしているサイトもあったりするので、そういう調べ方もあるのだなぁと思ったり)
当面はこの対策で乗り切っていこうかなぁと思います。