最近
XXX.XXX.XX.XX - - [12/Oct/2017:12:23:34 +0900] "HEAD http://XXXXXXX/phpMyAdmin/ HTTP/1.1" 403 - "-" "Mozilla/5.0 Jorgee" 6 0
のようなアクセスが急増。
とりあえず以下のコマンドで接続元IPを調べてみることに
grep "Jorgee" /var/log/httpd/access_log | awk '{print $1}' | sort | uniq -c | sort -rn
参考
https://qiita.com/oshou/items/d36218385169c7fd5385
どうやら色々なサーバーを踏み台として、律儀に100〜200リクエストごとでアクセス元を変更している模様。
参考
http://makaaso.hatenablog.com/entry/2017/09/15/115540
IPアドレスでの制限だと手間がかかりそうだったので、User-Agentによるブロックを実施
参考
https://hacknote.jp/archives/1103/
SetEnvIf User-Agent "Jorgee" banned deny from env=banned
