urlblock.phpリファラーとは?

本ブログのアクセス解析はあまり注視していなかったのだが久しぶりにサーバーのログを見てみたところ「http://157.112.187.27:6080/php/urlblock.php」というリファラーがあった。

調べても国内では情報がほとんどなかったので海外サイトや海外コミュニティで調べた情報をまとめる。

なおこのリファラーはGoogle Analyticsを含む一般的なアクセス解析では記録されず、多くの場合はサーバーのアクセス解析やログ情報に記録されるようだ。

urlblock.phpリファラーの正体

結論から言うとこのリファラーは以下のいずれかである。

  • 何らかの攻撃がブログに行われ、それをブロックした痕跡
  • ブラウザの機能拡張やプラグインによるブログへの何らかのアクセスが行われ、それをブロックした痕跡
  • 何らかのリダイレクトサービスによってアクセスされたが、それをブロックした痕跡

157.112.187.27というのは本ブログのIPアドレスを示していることからも本ブログのurlblock.phpが作動したということで間違いないだろう。

海外ではurlblock.phpリファラーに関する話題が多くはないものの一定数あり、ほとんどのサイト・コミュニティではこのリファラーは何らかの攻撃の証拠とされている。

ただし、このリファラーはあくまでアクセスをブロックした痕跡であるためブログやサーバーへの不正なアクセスが成功したことを示すものではない。

なお本リファラーが記録されたあるRedditユーザーは「中国や東欧からPHPの脆弱性を狙った攻撃が多く行われている」と報告している。

ただし僕の場合はサーバーの設定で国外IPアドレスをブロックしているため日本国内からのアクセスだと思われる。

ちなみにWordPressの脆弱性を狙ったものであるため、本リファラー(xxx.xxx.xxx.xxx:6080)はWordPressを運営している場合にのみ記録される。

対処の必要性

このリファラーは前述のようにブログ・サーバーへの不正なアクセスをブロックした痕跡であると考えられるが、自分のブログやサーバーに変わったこと(見覚えのないファイルがサーバーに存在するなど)がなければ特に対処の必要性はない。

多くのレンタルサーバーではサーバーやWordPressのセキュリティ対策が施されているため本リファラーが記録されたからといって過度に心配する必要はない。

念のため使っているサーバーの設定でWordPressやサーバーのセキュリティ設定画面を開いてきちんとWordPress・サーバーのセキュリティ設定がオンになっている確認するといい。

また本リファラーは国外で多く報告されていることからサーバーの設定で国外IPをブロックするのも有効だろう。

なお、もしこのリファラーが短時間に多く記録される場合は悪意を持ったアクセスが行われていると考えられるためレンタルサーバーのサポートに問い合わせ方がいいだろう。

まとめ

本リファラーは決して望ましいものではないが本リファラーが記録されたからといって過度に心配する必要もない。

前述の通りWordPressやサーバーのセキュリティ設定を確認し、本リファラーがあまりにも短時間の間に多く記録される場合はレンタルサーバーのサポートに問い合わせよう。