ここ数か月、このサイトにおかしなパラメタ付きURLでアクセスしてくる奴がいた。おかしなアクセスに気がついたのは今年の5月で、今から約6ヶ月前だ。パラメタで渡されるURLにアクセスしてみたら非常に気分の悪い画像が表示され腹が立ったので、おかしなパラメタ付きでアクセスしてくる奴は片っ端からアクセス拒否するスクリプトを組んで弾いてやった。

変なパラメタ付きアクセスはアク禁にした 参照

それでもこういうアクセスは後を絶たず、アクセス禁止になるIPアドレスはコンスタントに120を下回ることはなかった。こんなのに付き合っているのもバカらしくなって、ルータの制限を厳しくした後にアクセス拒否のスクリプトを止めたのが2週間ほど前だ。弾かれなくなった後は当然このおかしなアクセスは激増し、アクセスログを調べると変なパラメタ付きでのアクセスは1週間で4359回（1日平均 622回）であった。大した事はないレベルではあるが、アクセス総数の7〜8％くらいってのは無視できる数でもない。

異変が起きたのは10月22日だった。昼過ぎあたりから、突然このおかしなパラメタ付きアクセスが激減した。それまで1日平均600回以上あったのに、23日以降に至っては一気に1日1桁台まで激減してしまったのだ。その後も増える気配は全くなく、1日数回のペースのままである。

もともとこのおかしなアクセスは、トラフィックエクスチェンジのようなサービスかSpamサイトのブラックリストのようなものか、もしくはWindowsの脆弱性をついたなにかで起こっていると考えていた。だから最初はWindowsの月例パッチかなにかで激減したのかと思ったのだが、Windowsユーザが一斉にパッチを当てるとは考えにくくこれほど一斉に効果が出るとは思えない。となれば、アクセスがあったときはブラックリストというかそれに類似するようなものにこのサイトがリストアップされていて、そのリストから外れたからアクセスが無くなったと見るのが正解なような気がする。元々ninja toolsを入れている人は注意すべしというエントリを書いてから突然おかしなアクセスが増えたので、あのエントリが引き金になってなにかに登録されたのかも？なんて穿った見方をしてしまう。

この変なアクセスは、回数は減ったがまったく無くなったわけではない。それどころか少々質の悪い奴が残ってしまっているようなので、もう一度アクセス拒否のスクリプトを動かそうと考えている。今度はDROPで落とすんじゃなくMIRRORで返すのでよろしく。