サーバーの踏み台目的の不正アクセスの件

サーバーの踏み台目的の不正アクセスの件です。

cgi への不正アクセスの発見から、それへの対策をまとめてみました。

今年に入ってから、 1つの cgi へのアクセスが急に増えたので、Apache　のログを調べて対応しています。
かなり前に、自前のサーバーを導入して数年後に、レンタルサーバーの公開機能として、Apache ログを解析しやすいように、
Perl でCGI を組んで置いたのが、今、大変役立っています。コッホ!!

Apacheアクセスログの機能としては、
1) 日別のアクセス数の一覧
2) １日内での、ページ (html,cgi,php) 毎のアクセス数の一覧
3) さらに、その１ページに関して、
- アクセス元 ip 毎のアクセス数の一覧
- 参照元および参照内容の一覧
- 生ログの表示
があれば、不自然なアクセスを見つけやすいです。

それは、さて置き、どうやら、cgi の不備をついて、別のサイトへリダイレクトさせる、URL をしきりに送りつけているようです。
当初、cgi の簡単な修正で、外部の URL へのリンクを出さないで、'/' の出力のみにして、様子を見ました。
それでもアクセスが減らないので、それならと cgi をリネームして、http エラーで返すようにしました。

なので、エラーが表示されて、リダイレクトされないので、送りつけてきても意味が無いのですが、
それでも、旧 cgi名称でしきりにアクセスしてきます。
数日様子をみていましたが、サーバーへの不正アクセスのトラフィックが一向に減らないので、
これでは、いけないと思い、次の対策をこうじました。

現状、fail2ban のapache-noscript.conf のフィルターで、script not found ... として検出できているので、
検出回数や、検出時間をもっとシビアにして以前より早期に、iptables へ登録して対応するようにしました。

これで、少しは、トラフィックを逓減できているので、もう少し検出回数、時間を制限するか様子みです。
ただ、気になったので、apache のログで、どこの IP からアクセスしているのか、また参照元は、どこなのか調べてみました。

しつこくアクセスしてくる、IP の Host は、もしかしたら、ハッキングされているのかもしれません。
今回、この IP を fail2ban で、接続不能にするように、Server の iptables をActiveに設定しようとしています。
参照元 (html,cgi,php 等) は、色ありますが、
それらの殆どが、他の URL へリダイレクトする不正コードを見逃す、不備があるのでしょう。

其のなかに、
http://www.xxx.xx/bitrix/redirect.php
と言うのが結構あります。
bitrix/redirect.php とは何か良く知りませんが、
どうやら、リダイレクトするコードを見逃す不備があるのでしょう。

配布元にコンタクトを取って、知らせてやりたいですが、....
bitrix/redirect.php を利用されている方、一度、他のサイトへリダイレクトしていないか調べられたほうが良いと思います。

注) 特に、この php に問題が有ると言うことではありません。他に、不正コードの実行を見逃している、
html 、php 、cgi 、aspx も一杯あります。誤解のないように。

さて、問題の不具合のある perl CGI の改修ですが、
入力パラメータに、外部 URL が入っていないか、入念にチェックして、もし、部外 URL が渡されたら、perl で、
Apache のエラーログに前述の、"script not found or unable to stat ...." を出力して、fail2ban で処理させようかと考えちょります。

perl cgi で、 Apache のエラーログに書き出す例
#$top='/'; $turl='http://www.my-site.com'; # $go_back -> リダイレクトする url or page if($go_back){ if(!($go_back =~ m/^${turl}/) && !(go_back =~ m#^/#)){ warn "script not found or unable to stat:"; exit(1); } }
warn "script not found or unable to stat:"; で、
STDERR に出力されて、Apache のエラーログに記録されます。

但し、注意が必要です。
Apache のエラーログには、本来の内容と少しことなります。
[Sat Jan 30 11:52:03 2021] [error] [client 45.148.126.12] script not found or unable to stat: /home/neko/www/cgi-bin/cart.cgi [Sat Jan 30 12:58:17 2021] [error] [client 219.127.20.194] script not found or unable to stat: at /home/neko/www/cgi-bin/cart.cgi line 30.
上が、本当に script が無い場合のログで、下が、cgi で、warn で出力したログです。
stat: の後が、 /xxx か at /xxx の違いがあります。

なので、fail2ban のフィルター filter.d/apache-noscript.conf で少し対応しないといけません。
# Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 728 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # #failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): /\S*(\.php|\.asp|\.exe|\.pl|\.cgi) failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): (/|at /)\S*(\.php|\.asp|\.exe|\.pl|\.cgi) [[]client <HOST>[]] script '/\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat *$ ..... 省略

これで、cgi 出力したエラーログを fil2ban で捉えて、規定回数繰り返したら、
不正 ip と判断して iptables に登録できるようになると思います。
注) 正規表現は、python になります。fail2ban が python で書かれているので。

念のため、ローカルのサーバーで動作確認をしてから、実機へ反映させてみます。

余談ですが、今不正に、他サイトへのリダイレクトを送ってくる奴は、200個以上は、 IP をもっているようです。
fail2ban で対応して、３日位どんどこ iptables に登録したら、少しは、アクセスが減少してきたみたいです。
短時間に10数回、繰り返して送信できる IPが枯渇してきて、数回しか送れないIP ばかりになったのかも知れません。

そのうち、この cgi でのエラーは、fail2ban の jail.local で、[apache-noscript] とは、別にして、1日の内に、
1回来ただけでも、iptables へ登録してはと考えちょります。

追記。
CentOS7 では、ちょっと異ります。
1. httpd.conf で、Apache エラーログフォーマットを、旧形式にします。
/etc/httpd/conf/httpd.conf
... # add by nishi ErrorLogFormat "[%t] [%l] %7F: %E: [client\ %a] %M% ,\ referer\ %{Referer}i" ErrorLog "logs/error_log" # # LogLevel: Control the number of messages logged to the error_log. # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. # #LogLevel warn # changed by nishi LogLevel error ...

2. 上記設定で、エラーログを確認すると。
[Mon Feb 01 14:24:40 2021] [error] [client 192.168.1.200:54926] AH01264: script not found or unable to stat: /home/neko/www/cgi-bin/cart_entryx.cgi ... script not found or unable to stat: at /home/neko/www/cgi-bin/cart_entry.cgi line 129. [Mon Feb 01 15:03:44 2021] [error] [client 192.168.1.200:55238] End of script output before headers: cart_entry.cgi
上が、実際に script が無い場合のログ
下の2行が、warn で吐き出したログになすます。

3. 実際に、script が無い場合への対応。
CentOS5 のエラーログと少し異なるので、fail2ban のフィルターで対応します。
/etc/fail2ban/filter.d/apache-noscript.conf
<HOST>の後のポート番号と、 AH01264: を無視します。
failregex = [[]client <HOST>(:\d*)[]] \S*: (File does not exist|script not found or unable to stat): (/|at /)\S*(\.php|\.asp|\.exe|\.pl|\.cgi) [[]client <HOST>(:\d*)[]] script '/\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat *$

4. warn で吐き出したログへの対応。
何故、従来のログ形式と異なるのか、原因は、調査しないといけませんが、
安直な対応としては、 warn で、自分で全て出力する。
但し、時刻、IP は、自分で作成する。
if($go_back){ if(!($go_back =~ m/^${turl}/) && !(go_back =~ m#^/#)){ #warn "script not found or unable to stat:"; #warn " [Mon Feb 01 14:06:32 2021] [error] [client 192.168.1.200:54566] AH01264: script not found or unable to stat:"; my $today = localtime; my $remote_addr=$ENV{'REMOTE_ADDR'}; # リモート IPアドレス my $remote_port=$ENV{'REMOTE_PORT'}; warn "[$today] [error] [client $remote_addr:$remote_port] AH01264: script not found or unable to stat:"; $msg="Bad request!! #1"; print <<END_OF_ERR_HTML; Content-Type: text/html <HTML> <HEAD> <TITLE>エラー！！</TITLE> </HEAD> <BODY> $msg $! </BODY> </HTML> END_OF_ERR_HTML exit(0); } }

上記、安直の設定でも、fail2ban で、無事検出できました。

または、fail2ban が2行にまたがってチェック出来るバージョンであれば、
2行をチェックすれば、対応できます。
fail2ban の古いバージョンは、できなったけれど、今のバージョンはどうでしょうか?

おんちゃんは、古いバージョンを自分で修正して、２行でのチェックができるので、
failregex = で対応します。
因みの、この改造版は、おんちゃんのブログで触れているので、ご覧下さい。
その src rpm を、 CentOS7 でビルドすれば、そのまま使えると思います。

その後の、状況ですが、まだ結構不正アクセスはありますが、対策以前よりは、かなり
抑えられているようです。

もう一つ。
fail2ban で早く、Ban したければ、 warn を一度に、２回以上、出せば良いと思います。
これが意外と便利かも。本来の script not found or unable to stat を余り制限せずに、
不正アクセスのみ狙い撃ちできそうです。 by nishi 2021.2.3

5. 最終対応。
現在も、頻繁に、IP を変えて、そのたびに、fail2ban で、iptables へ自動登録をしています。
これは、これで良いのですが、余りにしつこいので、今後の対応としては、

Apache のエラーログから、該当 cgi への不正アクセスの IPだけの一覧を出す。
fail2ban-regex /var/log/httpd/error_log apache-noscript.conf で集計がでるが、通常のエラーも含まれるので、
直接、error_log を、grep で振るいにかけて、python でScriptを作ってIPの一覧を出します。

#grep 'script not found or unable to stat: at' /var/log/httpd/error_log > xxx.txt

その中から、同じネットワークだと思われそうな IP だけ選んで、ネットワークマスクを、24bit、16bit か 8bit(最強) だけ指定して、
ネットワーク単位で、まとめて、 /etc/sysconfig/iptables に登録する予定です。
これで、一網打尽に接続拒否できるので、それで、しばらく様子見です。

但し、ネットワーク単位で指定する時は、該当 IP の場所を http://www.utrace.de/ https://liveipmap.com/ 等で検索して、
外国籍の確認をしてからにします。

python で、ip を集計する例
comp_ip.py
''' Created on 2021/02/05 Update on 2021/02/10 comp_ip.py @author: nishi ''' import re LOG_FILE='E:/work3/yyy2.txt' IP32_CNT = 100 IP24_HOST_CNT = 30 IP24_CNT = 1 ip24_country={ '104.238.39.0' : ['Lewes (US)',1], '104.238.44.0' : ['',1], '107.172.235.0' : ['Buffalo (US)',1], '107.173.201.0' : ['Buffalo (US)',1], '107.173.248.0' : ['Buffalo (US)',1], '107.175.235.0' : ['Buffalo (US)',1], '107.175.237.0' : ['',1], '107.175.238.0' : ['',1], '143.244.40.0' : ['Leawood (US)',1], '143.244.41.0' : ['',1], '143.244.54.0' : ['',1], '146.185.200.0' : ['Minsk (BY)',1], '154.3.250.0' : ['(USA)',1], '156.146.41.0' : ['Saddle Brook NewYork (US)',1], '156.146.60.0' : ['',1], '172.245.254.0' : ['Chicago (US)',1], '172.245.64.0' : ['Chicago (US)',1], '172.83.45.0' : ['',1], '173.195.15.0' : ['Winter Park (US)',1], '173.213.87.0' : ['Las Vegas (US)',1], '173.245.202.0' : ['Costa Mesa (US)',1], '173.213.88.0' : ['',1], '173.245.203.0' : ['Ashburn (US)',1], '176.67.85.0' : ['(Russland)',1], '176.67.86.0' : ['',1], '183.197.56.0' : ['China',1], '183.199.125.0' : ['China',1], '185.108.105.0' : ['Glasgow (Scotland)',1], '185.147.213.0' : ['Stockholm (SE)',1], '185.147.214.0' : ['Madrid (ES)',1], '185.220.101.0' : ['',1], '185.244.9.0' : ['Manchester (England)',1], '185.88.102.0' : ['Russland',1], '185.88.36.0' : ['',1], '188.126.89.0' : ['Helsinki (FI)',1], '188.126.94.0' : ['',1], '191.101.39.0' : ['Overland Park (US)',1], '192.200.158.0' : ['New York (US)',1], '192.210.164.0' : ['',1], '192.227.161.0' : ['Los Angeles (US)',1], '192.3.139.0' : ['Buffalo (US)',1], '192.3.195.0' : ['',1], '192.3.208.0' : ['Buffalo (US)',1], '193.176.84.0' : ['(Romania)',1], '193.176.85.0' : ['',1], '193.8.215.0' : ['(France)',1], '195.246.120.0' : ['',1], '198.12.108.0' : ['Buffalo (US)',1], '198.181.163.0' : ['Virginia Beach (US)',1], '198.23.197.0' : ['Buffalo (US)',1], '198.23.238.0' : ['',1], '198.46.200.0' : ['Buffalo (US)',1], '198.46.235.0' : ['',1], '198.46.246.0' : ['',1], '2.58.12.0' : ['(Netherlands)',1], '2.58.13.0' : ['',1], '205.185.193.0' : ['Phoenix (US)',1], '205.185.209.0' : ['Phoenix (US)',1], '205.185.214.0' : ['Phoenix (US)',1], '205.185.222.0' : ['Phoenix (US)',1], '205.185.223.0' : ['Phoenix (US)',1], '209.107.196.0' : ['Costa Mesa (US)',1], '209.107.204.0' : ['Costa Mesa (US)',1], '209.107.210.0' : ['',1], '209.107.216.0' : ['',1], '209.234.253.0' : ['Costa Mesa (US)',1], '212.102.35.0' : ['',1], '212.102.37.0' : ['',1], '212.102.39.0' : ['Empoli (IT)',1], '212.102.49.0' : ['',1], '212.102.57.0' : ['',1], '216.151.180.0' : ['',1], '216.151.183.0' : ['Costa Mesa (US)',1], '216.151.191.0' : ['Costa Mesa (US)',1], '23.104.184.0' : ['Phoenix (US)',1], '23.129.64.0' : ['(US)',1], '23.94.108.0' : ['Buffalo (US)',1], '23.94.151.0' : ['Buffalo (US)',1], '45.10.232.0' : ['Paris(France)',1], '45.132.186.0' : ['(Australia)',1], '45.138.102.0' : ['',1], '45.148.126.0' : ['Los Angeles(USA)',1], '45.56.137.0' : ['(Italy)',1], '45.56.160.0' : ['',1], '45.56.174.0' : ['',1], '45.66.210.0' : ['(Australia)',1], '45.82.223.0' : ['(Switzerland)',1], '46.161.63.0' : ['Chisinau (MD)',1], '46.246.122.0' : ['(Norway)',1], '5.180.220.0' : ['London(England)',1], '5.180.221.0' : ['',1], '5.183.92.0' : ['(Germany)',1], '5.183.94.0' : ['',1], '64.145.76.0' : ['Pomona (US)',1], '64.145.79.0' : ['Costa Mesa (US)',1], '64.145.93.0' : ['Costa Mesa (US)',1], '64.145.94.0' : ['Costa Mesa (US)',1], '83.220.236.0' : ['Moscow (RU)',1], '83.220.237.0' : ['',1], '83.220.239.0' : ['',1], '84.17.51.0' : ['London (UK)',1], '91.193.176.0' : ['Russian Federation',1], '91.193.177.0' : ['',1], '91.193.178.0' : ['',1], '91.193.179.0' : ['',1] } def check_24(cnt,host): rc=0 if cnt >= IP24_CNT and host >= IP24_HOST_CNT: rc=1 return rc def main(): ip_tbl={} ip24_tbl={} ip16_tbl={} with open(LOG_FILE, 'r') as f: # [Sun Jan 31 04:15:27 2021] [error] [client 171.224.178.150] script not found or unable to stat: at /home/netosa/www/cgi-bin/netosa/cart/user/cart_entry.cgi line 128. for line in f.read().split('\n'): first=False m = re.match(r'^\[(.*)\] \[error\] \[client (.*)\] (.*)',line) if m: (t,ip,_)= m.groups() if ip not in ip_tbl: first=True ip_tbl[ip] = 1 else: ip_tbl[ip] += 1 ip_f = ip.split('.') ip_16 = ip_f[0]+'.'+ip_f[1]+'.0.0' ip_24 = ip_f[0]+'.'+ip_f[1]+'.'+ip_f[2]+'.0' if ip_24 not in ip24_tbl: ip24_tbl[ip_24] = [1,1] else: ip24_tbl[ip_24][0] += 1 if first == True: ip24_tbl[ip_24][1] += 1 if ip_16 not in ip16_tbl: ip16_tbl[ip_16] = [1,1] else: ip16_tbl[ip_16][0] += 1 if first == True: ip16_tbl[ip_16][1] += 1 print('---- ip32 ----------') print('-- ip , count --') for ip in sorted(ip_tbl.keys()): cnt=ip_tbl[ip] if cnt >= IP32_CNT: print("%s , %d" %(ip,cnt)) print('---- ip24 ----------') print('-- ip , count , hosts count --') ip24_host_drop = 0 ip24_drop={} for ip in sorted(ip24_tbl.keys()): cnt=ip24_tbl[ip][0] host=ip24_tbl[ip][1] if check_24(cnt,host): if ip in ip24_country: (country,flg) = ip24_country[ip] print("%s , %d , %d -> %s , %d" %(ip,cnt,host,country,flg)) if flg: ip24_host_drop += host ip24_drop[ip]=1 else: print("%s , %d , %d" %(ip,cnt,host)) ip24_host_drop += host ip24_drop[ip]=1 total_host_cnt=len(ip_tbl) ip24_drop_netwwork=len(ip24_drop) print('') print("IP24_HOST_CNT = %d" % (IP24_HOST_CNT)) print("Total Host Count = %d" %(total_host_cnt)) print("Drop Host Count = %d" %(ip24_host_drop)) print("Drop rate = %f" %(ip24_host_drop/total_host_cnt)) print("Drop ip24 Network Count = %d" %(ip24_drop_netwwork)) ip24_harm_host= ip24_drop_netwwork*256 print("Drop ip24 Network Hosts Count = %d" %(ip24_harm_host)) print("Non responsible Host rate = %f" %((ip24_harm_host-ip24_host_drop)/ip24_harm_host)) print('') if False: print('---- ip16 ----------') print('-- ip , count , hosts count --') for ip in sorted(ip16_tbl.keys()): cnt=ip16_tbl[ip][0] host=ip16_tbl[ip][1] if cnt >=100 and host >= 10: print("%s , %d , %d" %(ip,cnt,host)) # /etc/sysconfig/iptables # -A RH-Firewall-1-INPUT -p tcp -s 1.160.0.0/24 --dport 80 -j DROP for ip in sorted(ip24_drop.keys()): print("-A RH-Firewall-1-INPUT -p tcp -s %s/24 --dport 80 -j DROP" % (ip)) if __name__ == '__main__': main()

取り敢えず、24Bit のマスクで、不正Host が多い、ネットワークを静的 iptables に登録しようかと思います。

下記に、 24Bit のネットワークマスクで、アクセス数 50 以上、Host数が、30 以上のネットワークをピックアップしてみました。
この中から、日本とは関係ない物を対象にします。

現状で、全不正HOST に対して、15 パーセント程度、静的 iptables で処理して、残りを fail2ban で処理する事になるみたいです。
方針としては、何パーセントを、静的 iptables で行い、残りを fail2ban で行うかを決めればよいと思います。

python comp_ip.py > results.txt
---- ip24 ---------- -- ip , count , hosts count -- 104.238.39.0 , 62 , 41 -> Lewes (US) , 1 107.173.201.0 , 141 , 51 -> Buffalo (US) , 1 107.173.248.0 , 226 , 99 -> Buffalo (US) , 1 172.245.254.0 , 104 , 30 -> Chicago (US) , 1 172.245.64.0 , 95 , 34 -> Chicago (US) , 1 172.83.45.0 , 120 , 31 -> , 1 173.195.15.0 , 223 , 75 -> Winter Park (US) , 1 173.213.87.0 , 131 , 52 -> Las Vegas (US) , 1 173.245.202.0 , 87 , 39 -> Costa Mesa (US) , 1 173.245.203.0 , 191 , 73 -> Ashburn (US) , 1 183.197.56.0 , 408 , 69 -> China , 1 183.199.125.0 , 324 , 53 -> China , 1 185.147.213.0 , 180 , 56 -> Stockholm (SE) , 1 185.147.214.0 , 203 , 58 -> Madrid (ES) , 1 185.220.101.0 , 77 , 45 -> , 1 185.88.102.0 , 127 , 94 -> Russland , 1 192.200.158.0 , 136 , 54 -> New York (US) , 1 192.3.139.0 , 75 , 30 -> Buffalo (US) , 1 192.3.208.0 , 127 , 32 -> Buffalo (US) , 1 193.176.84.0 , 96 , 35 -> (Romania) , 1 193.176.85.0 , 86 , 39 -> , 1 198.181.163.0 , 219 , 53 -> Virginia Beach (US) , 1 2.58.12.0 , 250 , 73 -> (Netherlands) , 1 205.185.193.0 , 95 , 31 -> Phoenix (US) , 1 205.185.209.0 , 149 , 58 -> Phoenix (US) , 1 205.185.214.0 , 124 , 56 -> Phoenix (US) , 1 205.185.222.0 , 86 , 45 -> Phoenix (US) , 1 205.185.223.0 , 130 , 48 -> Phoenix (US) , 1 209.107.196.0 , 174 , 64 -> Costa Mesa (US) , 1 209.107.204.0 , 91 , 59 -> Costa Mesa (US) , 1 209.107.210.0 , 104 , 54 -> , 1 209.107.216.0 , 142 , 58 -> , 1 212.102.39.0 , 100 , 37 -> Empoli (IT) , 1 216.151.180.0 , 163 , 65 -> , 1 216.151.183.0 , 140 , 66 -> Costa Mesa (US) , 1 216.151.191.0 , 79 , 35 -> Costa Mesa (US) , 1 23.129.64.0 , 115 , 32 -> (US) , 1 23.94.151.0 , 135 , 55 -> Buffalo (US) , 1 45.10.232.0 , 177 , 48 -> Paris(France) , 1 45.132.186.0 , 129 , 92 -> (Australia) , 1 45.138.102.0 , 139 , 104 -> , 1 45.148.126.0 , 124 , 99 -> Los Angeles(USA) , 1 45.56.137.0 , 83 , 35 -> (Italy) , 1 45.56.174.0 , 87 , 41 -> , 1 45.66.210.0 , 121 , 84 -> (Australia) , 1 46.161.63.0 , 50 , 40 -> Chisinau (MD) , 1 5.180.220.0 , 269 , 77 -> London(England) , 1 5.180.221.0 , 130 , 35 -> , 1 5.183.92.0 , 225 , 74 -> (Germany) , 1 5.183.94.0 , 120 , 33 -> , 1 64.145.76.0 , 132 , 59 -> Pomona (US) , 1 64.145.79.0 , 154 , 61 -> Costa Mesa (US) , 1 64.145.93.0 , 133 , 64 -> Costa Mesa (US) , 1 64.145.94.0 , 85 , 33 -> Costa Mesa (US) , 1

Total Host Count = 20,226
Drop Host Count = 3,001
Drop rate = 0.148373
Drop ip24 Network Count = 55
Drop ip24 Network Hosts Count = 14,080
Non responsible Host rate = 0.786861

どうやら、不正Host は、 20,226 みたいです。

iptables の記述は、下記の様になります。
/etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p tcp -s 104.238.39.0/24 --dport 80 -j DROP -A RH-Firewall-1-INPUT -p tcp -s 107.173.201.0/24 --dport 80 -j DROP -A RH-Firewall-1-INPUT -p tcp -s 107.173.248.0/24 --dport 80 -j DROP -A RH-Firewall-1-INPUT -p tcp -s 173.195.15.0/24 --dport 80 -j DROP ... 以下、省略

5. ip の地域を調べる Python スクリプトを作ってみました。
参考にしたのは、https://stackoverflow.com/questions/24678308/how-to-find-location-with-ip-address-in-python
get_ip_region.py
''' Created on 2021/02/08 get_ip_region.py @author: nishi https://stackoverflow.com/questions/24678308/how-to-find-location-with-ip-address-in-python ''' import urllib.request import json def get_ip_info(ip): geolocation='https://geolocation-db.com/jsonp/' with urllib.request.urlopen(geolocation+ip) as url: data = url.read().decode() data=data.split("({")[1].strip("})") ip_info={} for s in data.split(','): (key,val) = s.split(':') key = key.strip("\"") val = val.strip("\"") ip_info[key]=val #print('ip_info=',ip_info) print("%s %s (%s)" % (ip,ip_info['city'],ip_info['country_name'])) if __name__ == '__main__': ip_tbl=['104.238.39.0', '104.238.44.0', '107.172.235.0'] for ip in ip_tbl: get_ip_info(ip)

サーバーの踏み台目的の不正アクセスの件

カテゴリ:

検索

このブログ記事について

カテゴリ

月別アーカイブ

ウェブページ

サイトナビ

サーバーの踏み台目的の不正アクセスの件

カテゴリ:

検索

このブログ記事について

カテゴリ

月別 アーカイブ

ウェブページ

サイトナビ

月別アーカイブ