ログインログリスト

ログイン処理を記録した一覧は、管理画面のユーザーメニューの中の「ログインログ」メニューを選択して表示します。

リスト表示のメニュー

リスト表示のメニュー

表示項目

表示項目は次の通りです。

  • ID
    記録時に自動で振られる連番
  • ログイン名
    ログイン名の入力項目に入力された内容
  • パスワード
    パスワードの入力項目に入力された内容、ただしログインが成功した場合は「********」に置き換えて登録しています
  • UserID
    ログインが成功したときのユーザーID
  • ホストIP
    アクセス元となるクライアントのグローバルIPアドレス
  • ブラウザ他
    アクセス元から渡されたユーザーエージェント情報の他、XML-RPCを利用した場合はその内容
  • 日時
    データベースに記録した日時

ログインデータの検索

ログインリストのデータを検索する事ができます。検索で指定できる項目は

  • ログイン名
  • パスワード
  • UserID
  • ホストIP
  • ブラウザ他
  • 日時

です。

複数の項目の「AND」や「OR」検索はできません。検索は、入力された文字列を含むデータを検索するのみです。

情報の見方

人によって異なるかと思いますが、この節は著者(ツール制作者)の主観による解説となります。

1.短時間に繰返し異なるパスワードを利用したログインアクセス

これまでにユーザー名「admin」に対して異なるパスワードを利用しておよそ1万6000回、2時間以上に渡るログイン実行を記録した事があります。

実際の現場を知りませんので推察になりますが、利用頻度の高いパスワードを抽出、辞書を用意し、乗っ取ったサーバーを使ってプログラムを利用して繰返しアクセスしているもの、と思います。

このような攻撃は「ブルートフォースアタック」と呼ばれます。

2.時間間隔が長く異なるIPアドレスからのブルートフォースアタック

アクセス元のIPアドレスが異なるため、アクセス間隔がある程度長いと単発で行なわれているように思われるかも知れません。

海外からのアクセスは日本で社会活動する時間帯とズレているため、時間間隔が空いていても連続して記録されるので、同一の攻撃者が異なるサーバーを利用して繰返しアクセスしているもの、と想像できます。

3.パスワードを失念したログインアクセス

登録ユーザー名で数回異なるパスワードを入力してログインするか、あるいはログインができない場合があります。

4.XML-RPC を利用したアクセス

XML-RPCには、ブラウザの管理画面を利用せずブログの記事を読み出したり、アップしたりする機能があるのですが、データの中に「ログイン名」と「パスワード」を含めるため、アクセスの可否を調べる事ができます。

ただし処理時間が長いため、短時間で突破したい場合は向いていません。実際、最近そのようなアクセスは見なくなりました。

なおこのアクセスはログイン画面を利用しないため、ログイン名やパスワードは空白となります。XML-RPCで受信したデータは、リストの「ブラウザ他」に表示されます。多くの場合は何もデータを送信してこないため、空白を表わす「a:0:{}」(配列で保存しているため)の表示となります。

実はこのアクセスは大変多いのですが、ブルートフォースアタックのように短時間に繰り返される事はなく、それでいて定期的に行なわれ、たまに一定の時間間隔(例えば30分とか40分程度)で10数時間に渡るアクセスがあります。

IPアドレスはブルートフォースアタック同様、同じIPアドレスが利用されている場合もあれば、異なるIPアドレスである場合もあります。

何が目的か分らず不気味な感じです。何かご存知の方がいれば情報をお知らせ下さると嬉しいです。