このページは、当サーバーに対して不正アクセスや脆弱性スキャンを試みた悪質なボットおよびIPアドレスの公開ログです。 私たちは正規ユーザーの安全とシステムの完全性を最優先しています。WordPressのコアファイルやプラグインを狙う自動化された探索は厳重に監視され、ファイアウォールレベルで恒久的に遮断されます。
セキュリティ対策を回避しようとする試みは、即時のIP BAN(禁止)および、このブラックリストへの掲載対象となります。
Access Policy & Security Warning
This page serves as a public log of Abusive Bots and Malicious IP Addresses that have attempted unauthorized access or vulnerability scanning against this server.
We prioritize the safety of our legitimate users and the integrity of our systems. Any automated probes seeking common vulnerabilities (e.g., WordPress core, plugins, or configuration files) are strictly monitored and permanently blocked at the firewall level.
By accessing our services, you agree to comply with our terms. Any attempt to bypass security measures will result in an immediate IP ban and inclusion in this public blacklist.
⚠️ May 01, 2026 | Ban Issued: 107.175.145.2.10 and 3 others
# --- Incident Log: 2026-05-01 ---
Target IP: 107.175.145.2
Status: Blacklisted (183 hits across multiple environments)
WHOIS Info: HostPapa, US, net-abuse-global@hostpapa.com, Direct Allocation
Comment: [Fingerprinting] probing for wp-config backups, .env files, terraform state,
sitemap files
日本語補足:このIPは、複数の管理環境で設定ファイルや公開情報の場所を調べています。
備考:複数の管理環境に対して同じ探索を繰り返しており、自動化スキャンの可能性が高い。
設定不備や残置ファイルの発見を狙ったものと考えられる。攻撃密度は Moderate。
Target IP: 20.151.138.87
Status: Blacklisted (364 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for admin.php, wp-good.php, ioxi-o.php, info.php,file.php
日本語補足:このIPは、複数の管理環境で不正なPHPファイルがあるかを調べています。
備考:クラウド環境を踏み台にした自動化アクセスの可能性が高い。Webシェルや管理用ファイルの残置を狙った
探索と考えられる。攻撃密度は High Activity。
Target IP: 209.38.87.186
Status: Blacklisted (13 hits across multiple environments)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [WordPress Recon] checking wp-admin/install.php across common WordPress paths
日本語補足:このIPは、複数の管理環境でWordPressの初期設定画面が残っていないかを調べています。
備考:クラウド環境からの定型的な探索の可能性が高い。初期設定が未完了のWordPressを探していると考えられる。
攻撃密度は Low Activity。
Target IP: 62.197.156.35
Status: Blacklisted (126 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] scanning for xmlrpc.php and administrator/index.php across common paths
日本語補足:このIPは、複数の管理環境でWordPressや別の管理画面の入口を広く調べています。
備考:複数CMSを対象にした横断的なスキャンの可能性が高い。認証口や管理画面の露出確認を狙ったものと考えられる。
攻撃密度は Moderate。⚠️ Apr 30, 2026 | Ban Issued: 172.212.217.10 and 9 others
# --- Incident Log: 2026-04-30 ---
Target IP: 172.212.217.10
Status: Blacklisted (197 hits across multiple environments)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp_filemanager.php, wp-system.php, white.php,
temp.php, alpha.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと考えられる。
複数の管理環境を横断して同系統のPHP名を反復する点が特徴。攻撃密度: Moderate
Target IP: 20.220.233.65
Status: Blacklisted (39 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php, wp-system.php, white.php,
smtp.php, file2.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:クラウド環境を使った自動化スキャンの可能性が高い。既知のWebシェルや不正ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連名を混ぜて試す点が特徴。攻撃密度: Low Activity
Target IP: 45.86.200.101
Status: Blacklisted (199 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wp.php, wp-user.php, wp-l0gin.php, dyqvcfqv.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと考えられる。
WordPress配下に不自然なPHP名を混ぜて広く試す点が特徴。攻撃密度: Moderate
Target IP: 45.86.200.108
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-includes/style-engine, SimplePie paths
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、次の攻撃対象を絞る意図と考えられる。REST APIと内部ディレクトリを広く列挙する点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.51
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-includes/style-engine, SimplePie paths
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、
次の攻撃対象を絞る意図と考えられる。REST APIと内部ディレクトリを広く列挙する点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.77
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wso.php, xp.php, wp.php, wp-setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を非常に多く探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。短時間に大量の候補を反復する点が特徴。攻撃密度: Critical
Target IP: 45.86.200.88
Status: Blacklisted (290 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-conflg.php, sitemaps.php
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、弱い場所を探す意図と
考えられる。内部ディレクトリ列挙に設定偽装名を混ぜる点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.96
Status: Blacklisted (434 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wso.php, xp.php, wp-l0gin.php, wp-class.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。WordPress配下に不自然なPHP名を混ぜて広く試す点が特徴。攻撃密度: High Activity
Target IP: 46.250.169.255
Status: Blacklisted (43 hits)
WHOIS Info: Unknown (Unresolved), NL, Unknown (Unresolved), Allocated to RIPE NCC
Comment: [Fingerprinting] requesting wp-login.php and WordPress asset files to inspect
site behavior
日本語補足:このIPは、WordPressのログイン画面や関連ファイルにアクセスして、動きを調べていました。
備考:自動化された挙動確認の可能性が高い。公開された資産ファイルやログイン導線から構成把握を狙ったと考えられる。
通常表示に近い取得を混ぜる点が特徴。攻撃密度: Low Activity
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for xmlrpc.php and administrator/index.php across multiple
environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンの可能性が高い。CMSの管理画面やXML-RPCの露出確認を狙ったと考えられる。複数の管理環境を横断して同じ候補を反復する点が特徴。攻撃密度: Moderate⚠️ Apr 29, 2026 | Ban Issued: 172.212.217.10 and 2 others
# --- Incident Log: 2026-04-29 ---
Target IP: 172.212.217.10
Status: Blacklisted (176 hits across multiple environments)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: [Web Shell Probe] probing WordPress and PHP backdoor files such as wp_filemanager.php,
wp-system.php, white.php, temp.php, alpha.php
日本語補足:このIPは、WordPressやPHPの不正なファイルを探すアクセスを、複数の管理環境に対して176回行いました。
備考:広域アドレス帯からの探索であり、自動化されたスキャンの可能性が高い。既知のWebシェルや管理系PHPの有無を確認する意図と考えられる。複数の管理環境に分散している点も特徴。
攻撃密度: Moderate
Target IP: 192.210.193.248
Status: Blacklisted (77 hits across multiple environments)
WHOIS Info: HostPapa (HOSTP-7), US, net-abuse-global@hostpapa.com, Direct Allocation
Comment: [Fingerprinting] probing discovery and configuration endpoints such as sitemap.xml,
robots.txt, config.json, env.js, graphql
日本語補足:このIPは、設定や構成を調べるためのURLに、複数の管理環境へ77回アクセスしました。
備考:設定情報や公開構成の把握を狙う初期調査の可能性が高い。自動化ツールで応答差分を見て技術構成を絞り込む意図と
考えられる。少量でも複数の管理環境を横断している点が特徴。攻撃密度: Moderate
Target IP: 20.29.83.202
Status: Blacklisted (176 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP files such as wp-good.php, admin.php,
info.php, file.php, ioxi-o.php
日本語補足:このIPは、WordPressやPHPの不正なファイルを探すアクセスを176回行いました。
備考:クラウド環境を踏み台にした探索の可能性が高い。WordPress配下や汎用PHP名を広く試しており、設置済みバックドアや脆弱な配置ファイルを探す意図と考えられる。短時間にまとまった試行がある点が特徴。
攻撃密度: Moderate⚠️ Apr 28, 2026 | Ban Issued: 135.225.32.40 and 7 others
# --- Incident Log: 2026-04-28 ---
Target IP: 135.225.32.40
Status: Blacklisted (180 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell filenames such as zoper1.php, wp_filemanager.php
日本語補足:このIPは、Webシェルのような不正なPHPファイルを探して何度もアクセスしました。
備考:複数の不正PHP名を広く試す動きであり、自動化された探索の可能性が高い。
侵入後に使える設置済みファイルを探していると考えられる。Low Activity
Target IP: 149.33.14.52
Status: Blacklisted (21 hits)
WHOIS Info: Cogent Communications, LLC (COGC), US, abuse@cogentco.com, Direct Allocation
Comment: [Auth Attack] accessing wp-login.php registration endpoint and related pages
日本語補足:このIPは、WordPressのログインや登録に関係するページへアクセスしました。
備考:認証まわりの入口を試す軽い調査であり、ボットによる事前確認の可能性がある。
アカウント作成や管理画面露出の確認が目的と考えられる。Low Activity
Target IP: 158.158.121.236
Status: Blacklisted (388 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU,
search-apnic-not-arin@apnic.net, Early Registrations, Transferred to APNIC
Comment: [Web Shell Probe] probing for many PHP backdoor names such as wp.php, z.php, xenon1337.php
日本語補足:このIPは、多くのPHPバックドア名を使って、不正なファイルがあるか確認しました。
備考:多数の既知ファイル名を高速に試す典型的なスキャンであり、広域ボットの可能性が高い。
既に侵害された環境の再利用を狙っていると考えられる。High Activity
Target IP: 161.115.235.148
Status: Blacklisted (63 hits)
WHOIS Info: Server Mania Inc. (SM-1650), CA, support@servermania.com, Direct Allocation
Comment: [WordPress Recon] enumerating wp-json, plugin metadata, and upload paths
日本語補足:このIPは、WordPressの設定やプラグイン情報を調べるためのアクセスをしました。
備考:プラグイン構成や公開情報を集める偵察であり、後続攻撃の下調べの可能性が高い。
脆弱なプラグインや設定不備の特定が目的と考えられる。Moderate
Target IP: 172.212.183.249
Status: Blacklisted (297 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for common shell and admin PHP files such as alfa.php,
admin.php, 404.php
日本語補足:このIPは、よく使われる不正PHPファイルや管理用ファイルを探してアクセスしました。
備考:既知のシェル名と管理系パスを組み合わせた探索であり、自動攻撃基盤の可能性が高い。
侵入済みファイルの発見または再アクセスが目的と考えられる。High Activity
Target IP: 172.212.217.10
Status: Blacklisted (74 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp-system.php,
filebrowser.php, gecko-litespeed.php
日本語補足:このIPは、不正に使われやすいPHPファイルを探して何度もアクセスしました。
備考:バックドア候補名を順番に確認する挙動であり、既知パターンを使うボットの可能性が高い。
設置済みWebシェルの有無を調べていると考えられる。Moderate
Target IP: 209.38.84.143
Status: Blacklisted (13 hits)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: [WordPress Recon] scanning common WordPress install paths for install.php
日本語補足:このIPは、WordPressのインストール画面が残っていないか、複数の場所を調べました。
備考:設置ミスや残存インストーラを探す偵察であり、クラウド上の自動スキャンの可能性が高い。
初期設定不備の悪用準備と考えられる。Low Activity
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Broad Scan] scanning xmlrpc.php and administrator endpoints across multiple
common paths
日本語補足:このIPは、複数の管理環境で xmlrpc.php や administrator の場所を広く調べました。
備考:複数の管理環境に対して同じ探索を繰り返しており、横断的なスキャンの可能性が高い。
WordPressとJoomlaの入口をまとめて確認していると考えられる。Moderate⚠️ Apr 27, 2026 | Ban Issued: 158.173.36.240 and 6 others
# --- Incident Log: 2026-04-27 ---
Target IP: 103.153.183.69
Status: Blacklisted (67 hits)
WHOIS Info: SnTHostings.com, Unknown (Unresolved), Astonia Royale, Ambegaon Narhe Road,
Pune Maharashtra 411046, Unknown (Unresolved)
Comment: [Fingerprinting] probing for phpversion.php, debug.php, wp-config.php.bak,
laravel.log, server-status
日本語補足:このIPは、情報が見えるページや設定ファイルの場所を何度も調べていました。
備考:ホスティング環境を使った自動化スキャンである可能性が高い。設定情報や内部状態の取得を狙ったと考えられる。
バックアップ設定ファイル、診断ページ、ログ関連パスを横断して試す点が特徴。攻撃密度は Moderate。
Target IP: 146.190.80.154
Status: Blacklisted (22 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Web Shell Probe] probing upload and file manager paths such as kcfinder/upload.php,
filemanager/dialog.php, server/php/
日本語補足:このIPは、アップロード機能や不審な管理用ファイルの場所を何度も探していました。
備考:DigitalOcean上の自動化スキャンである可能性が高い。アップロード機能の悪用や侵害後の配置先確認を狙ったと
考えられる。ファイルマネージャー系とアップロード処理系の候補をまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 18.231.138.176
Status: Blacklisted (170 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Broad Scan] probing for .env and phpinfo paths such as www/.env, wp/.env,
wordpress/.env, webmail/phpinfo.php, vendor/.env
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。.env 系と
phpinfo 系の候補を広く反復する点が特徴。攻撃密度は Moderate。
Target IP: 185.213.174.27
Status: Blacklisted (40 hits)
WHOIS Info: NextGenWebs-NL, Unknown (Unresolved), Plaza Gerardo Salvador 1,
Oficina 17, Unknown (Unresolved)
Comment: [Fingerprinting] probing for settings.json, runtime-config.js, graphql,
config.json, api/v1/settings
日本語補足:このIPは、設定情報やAPIの入口になりそうな場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。構成情報や公開APIの把握を狙ったと考えられる。
設定JSON、設定JS、API関連パスをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.151.116.9
Status: Blacklisted (320 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for css.php, cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を狙ったと
考えられる。短いPHP名を大量に列挙して反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.9.69.97
Status: Blacklisted (316 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for css.php, cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を狙ったと
考えられる。短いPHP名を大量に列挙して反復する点が特徴。攻撃密度は High Activity。
Target IP: 88.151.34.253
Status: Blacklisted (52 hits)
WHOIS Info: Unknown Org, Unknown (Unresolved), Plaza Gerardo Salvador 1, Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress assets and index files such as wp-includes,
main.min.js, sitemap.xml, robots.txt, public/.env
日本語補足:このIPは、WordPress関連のファイルやサイト構成が分かる場所を何度も調べていました。
備考:広域スキャンや情報収集目的のアクセスである可能性が高い。WordPressの設置確認や構成把握を狙ったと考えられる。
静的アセットとサイトマップ、設定露出候補を組み合わせて試す点が特徴。攻撃密度は Moderate。⚠️ Apr 26, 2026 | Ban Issued: 158.173.36.240 and 3 others
# --- Incident Log: 2026-04-26 ---
Target IP: 20.250.14.166
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp_filemanager.php,
test_phpinfo2.php, stat.php, setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いPHP名を組み合わせる点が特徴。攻撃密度は Moderate。
Target IP: 40.89.132.50
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp_filemanager.php,
test_phpinfo2.php, stat.php, setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いPHP名を組み合わせる点が特徴。攻撃密度は Moderate。
Target IP: 52.63.165.224
Status: Blacklisted (170 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Broad Scan] probing for .env and phpinfo paths such as www/.env, wp/.env,
wordpress/.env, webmail/phpinfo.php, vendor/.env
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。.env 系と
phpinfo 系のパスを広く試す点が特徴。攻撃密度は Moderate。
Target IP: 74.248.33.118
Status: Blacklisted (297 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-content/, wp-content/admin.php, wp-load.php, ms-edit.php, dx.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認や不審なPHPファイルの残存確認を
狙ったと考えられる。WordPress関連パスと短いPHP名を広く反復する点が特徴。攻撃密度は High Activity。⚠️ Apr 25, 2026 | Ban Issued: 158.173.36.240 and 12 others
# --- Incident Log: 2026-04-25 ---
Target IP: 158.173.36.240
Status: Blacklisted (223 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early
Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp-conflg.php, core.php, xleet.php, wso.php, wp.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。WordPress配下に不自然なPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 20.240.45.42
Status: Blacklisted (314 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, av.php, wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 20.251.115.10
Status: Blacklisted (324 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して
試す点が特徴。攻撃密度は High Activity。
Target IP: 20.251.186.249
Status: Blacklisted (182 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for zoper1.php, xper1.php, ws78.php, wp-the.php,
wp_filemanager.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや不審プラグイン経由の入口確認を狙ったと考えられる。
短いPHP名とWordPress関連名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 4.225.217.178
Status: Blacklisted (319 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して試す
点が特徴。攻撃密度は High Activity。
Target IP: 4.232.190.225
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp-plugins.php, wp_filemanager.php,
phpversion.php, litespeed.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。診断用や侵害後に残されやすいPHPファイルの露出確認を狙ったと
考えられる。情報表示系ファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は Moderate。
Target IP: 4.235.80.255
Status: Blacklisted (587 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, dx.php, wp.php, wp-temp.php,
wp-load.php across multiple environments
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断して侵害後ファイルや改ざん用ファイルの残存確認を狙ったと考えられる。同じ候補を横断的に
反復する点が特徴。攻撃密度は High Activity。
Target IP: 45.91.22.42
Status: Blacklisted (231 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp-conflg.php, core.php, xleet.php, wso.php, wp.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙った
と考えられる。WordPress配下に不自然なPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 51.103.42.147
Status: Blacklisted (292 hits)
WHOIS Info: Microsoft Corporation (Azure), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Web Shell Probe] probing for xxx.php, zoper1.php, zogy1.php, ws80.php, wpconf.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:クラウド経由の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや設定偽装ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress風の名称を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple
environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は
Moderate。
Target IP: 74.234.74.247
Status: Blacklisted (318 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して試す
点が特徴。攻撃密度は High Activity。
Target IP: 74.248.133.46
Status: Blacklisted (592 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, dx.php, wp.php, wp-temp.php,
wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。同系統の候補を高頻度で反復
する点が特徴。攻撃密度は High Activity。
Target IP: 89.169.170.131
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Fingerprinting] probing for .env, secrets.env, phpinfo.php, phpinfo, info.php
日本語補足:このIPは、設定ファイルや情報表示ファイルの場所を何度も調べていました。
備考:広域スキャンや情報収集目的のアクセスである可能性が高い。環境変数ファイルや診断ページの露出確認を狙ったと
考えられる。設定情報の取得につながる候補を広く試す点が特徴。攻撃密度は Low Activity。
⚠️ Apr 24, 2026 | Ban Issued: 163.5.241.72 and 7 others
# --- Incident Log: 2026-04-24 ---
Target IP: 163.5.241.72
Status: Blacklisted (218 hits)
WHOIS Info: Early registration addresses, AU, Unknown (Unresolved), Early Registrations
/ Maintained by APNIC
Comment: [Web Shell Probe] probing for core.php, xleet.php, wso.php, wp.php, about.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:海外ネットワーク経由の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress配下と短いPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 170.64.224.109
Status: Blacklisted (44 hits across multiple environments)
WHOIS Info: DigitalOcean, LLC, US, Abuse Contact, Direct Allocation
Comment: [Fingerprinting] requesting .git/config to check exposed repository data
across multiple environments
日本語補足:このIPは、複数の管理環境で、.git/config の場所を調べていました。
備考:DigitalOcean上の自動化スキャンである可能性が高い。
設定情報やリポジトリ情報の露出確認を狙ったと考えられる。.git/config だけを反復して試す点が特徴。
攻撃密度は Low Activity。
Target IP: 172.213.241.91
Status: Blacklisted (33 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Early
Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を
狙ったと考えられる。短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.100.170.189
Status: Blacklisted (33 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.203.250.186
Status: Blacklisted (67 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断して既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
同じ候補パスを各環境へ反復する点が特徴。攻撃密度は Moderate。
Target IP: 20.251.39.123
Status: Blacklisted (310 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, admin.php, wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルを大量に組み合わせて試す点が特徴。攻撃密度は High Activity。
Target IP: 4.210.104.149
Status: Blacklisted (33 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 62.197.156.35
Status: Blacklisted (63 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面やXML-
RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は Moderate。⚠️ Apr 23, 2026 | Ban Issued: 154.92.16.88 and 2 others
# --- Incident Log: 2026-04-23 ---
Target IP: 154.92.16.88
Status: Blacklisted (53 hits)
WHOIS Info: Yisu Cloud Ltd, Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] scanning multiple web application paths and upload endpoints
日本語補足:このIPは、いろいろなWebアプリの場所やアップロード機能を広く試していました。53回のアクセスがあり、
ブラックリストに入っています。
備考:クラウド系の送信元を使った広域スキャンの可能性が高い。複数の種類のURLを短時間に試しており、
脆弱な機能や設定不備を探していたと考えられる。活動量はModerate。
Target IP: 4.211.203.64
Status: Blacklisted (204 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php and similar PHP files
日本語補足:このIPは、PHPファイルを探す動きをしていました。204回のアクセスがあり、ブラックリストに入っています。
備考:Azure上の送信元を使った自動化スキャンの可能性が高い。似た名前のPHPファイルを連続で試しており、
設置済みの不正ファイルや侵入済み環境を探していたと考えられる。活動量はHigh Activity。
Target IP: 4.235.1.40
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php and similar PHP files
日本語補足:このIPは、PHPファイルを探す動きをしていました。206回のアクセスがあり、ブラックリストに入っています。
備考:Azure上の送信元を使った自動化スキャンの可能性が高い。似た名前のPHPファイルを連続で試しており、
設置済みの不正ファイルや侵入済み環境を探していたと考えられる。活動量はHigh Activity。⚠️ Apr 22, 2026 | Ban Issued: 170.64.224.109 and 4 others
# --- Incident Log: 2026-04-22 ---
Target IP: 170.64.224.109
Status: Blacklisted (16 hits across multiple environments)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Fingerprinting] probing for .git configuration files
日本語補足:このIPは、複数の管理環境で.gitの設定ファイルを探すアクセスをしていました。合計16回のアクセスがあり、
ブラックリストに入りました。
備考:クラウド環境を踏み台にした広域スキャンの可能性が高いです。内部設定の露出確認や情報収集が目的と考えられます。
少数リクエストですが複数の管理環境にまたがる点が特徴です。Low Activity。
Target IP: 185.192.71.189
Status: Blacklisted (497 hits)
WHOIS Info: Express-Equinix-London, Unknown (Unresolved), Express-Equinix-London, Unknown Type
Comment: [WordPress Recon] enumerating WordPress REST paths and core directories
日本語補足:このIPは、WordPressの機能やフォルダを調べるアクセスをしていました。合計497回のアクセスがあり、
ブラックリストに入りました。
備考:自動化された探索の可能性が高いです。WordPressの構成確認と利用可能な入口の特定が目的と考えられます。
複数の典型的なWordPress関連パスを連続で確認している点が特徴です。High Activity。
Target IP: 185.92.25.72
Status: Blacklisted (241 hits)
WHOIS Info: Express-Equinix-London, Unknown (Unresolved), Express-Equinix-London, Unknown Type
Comment: [WordPress Recon] scanning WordPress API endpoints and include paths
日本語補足:このIPは、WordPressのAPIや関連フォルダを調べるアクセスをしていました。合計241回のアクセスがあり、
ブラックリストに入りました。
備考:自動化されたWordPress調査の可能性が高いです。公開された機能や弱い場所の有無を確認する意図と考えられます。
探索先がWordPress関連に集中している点が特徴です。High Activity。
Target IP: 4.204.225.251
Status: Blacklisted (280 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-mail.php, rip.php, ioxi-o.php, ws83.php, x.php
日本語補足:このIPは、複数の管理環境で不正なPHPファイルを探すアクセスをしていました。合計280回のアクセスがあり、
ブラックリストに入りました。
備考:クラウド環境を使ったボット的な探索の可能性が高いです。
既知のWebShellや不正設置ファイルの有無を確認する意図と考えられます。複数の管理環境に同じ並びでアクセスしている
点が特徴です。High Activity。
Target IP: 91.230.225.145
Status: Blacklisted (793 hits)
WHOIS Info: VPN Consumer Network Services, Unknown (Unresolved), Moezel 3, Unknown Type
Comment: [Web Shell Probe] probing for wso.php, ws.php, wp.php, x.php, xl2023.php
日本語補足:このIPは、不正なPHPファイルを探すアクセスをしていました。合計793回のアクセスがあり、
ブラックリストに入りました。
備考:匿名化された接続元からの探索の可能性が高いです。設置済みWeb Shellの発見や侵入後の再利用が目的と考えられます。
短い名前のPHPファイルを大量に試している点が特徴です。High Activity。⚠️ Apr 21, 2026 | Ban Issued: 130.131.243.198 and 10 others
# --- Incident Log: 2026-04-21 ---
Target IP: 130.131.243.198
Status: Blacklisted (54 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as xmlrpc.php, wp-login.php,
wp-trackback.php, ws.php, wp-conf.php
日本語補足:このIPは、WordPressの場所や関連ファイルを何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置状況や管理導線の露出確認を狙ったと
考えられる。複数の関連パスを広く試す点が特徴。攻撃密度は Moderate。
Target IP: 173.239.216.23
Status: Blacklisted (1000 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [Web Shell Probe] probing for xoot.php, xl2023.php, wsa.php, ws.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:ホスティング基盤を使った自動化アクセスである可能性が高い。
侵害後に置かれやすいWebシェルや不審ファイルの残存確認を狙ったと考えられる。短いPHP名を大量に列挙して試す点が特徴。
攻撃密度は Critical。
Target IP: 20.166.56.163
Status: Blacklisted (335 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, av.php, wp-update.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 209.38.89.62
Status: Blacklisted (13 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [WordPress Recon] scanning wp-admin/install.php under common subdirectories
日本語補足:このIPは、WordPressの初期設定ページの場所を調べていました。
備考:クラウド上の自動化スキャンである可能性が高い。未初期化のWordPressや放置された設置先の発見を狙ったと
考えられる。共通ディレクトリ名を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 4.204.225.251
Status: Blacklisted (106 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as xmlrpc.php, wp-login.php,
wp-trackback.php, ws.php, wp-conf.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressの場所や関連ファイルを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断してWordPressの設置状況や管理導線の露出確認を狙ったと考えられる。
同系統のパスを繰り返し試す点が特徴。攻撃密度は Moderate。
Target IP: 40.89.157.86
Status: Blacklisted (202 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php, zxcs.php, zogy1.php, xper1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと
考えられる。連番に近い名前や短いPHP名を広く試す点が特徴。攻撃密度は High Activity。
Target IP: 45.86.202.32
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wso.php, ws.php, wsa.php, xp.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。
既知のWebシェルや侵害済み環境に残りやすいPHPファイルの探索を狙ったと考えられる。
代表的なシェル名とWordPress系名称をまとめて試す点が特徴。攻撃密度は Critical。
Target IP: 45.86.202.38
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wso.php, ws.php, wsa.php, xp.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。
既知のWebシェルや侵害済み環境に残りやすいPHPファイルの探索を狙ったと考えられる。
代表的なシェル名とWordPress系名称をまとめて試す点が特徴。攻撃密度は Critical。
Target IP: 45.86.202.41
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Fingerprinting] enumerating wp-json and wp-includes paths for WordPress
component discovery
日本語補足:このIPは、WordPressの中の機能や部品の場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの構成や有効機能の把握を狙ったと
考えられる。REST APIや内部ディレクトリを細かく列挙する点が特徴。攻撃密度は High Activity。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は Moderate。
Target IP: 72.146.11.103
Status: Blacklisted (202 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php, zxcs.php, zogy1.php, xper1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
連番に近い名前や短いPHP名を広く試す点が特徴。攻撃密度は High Activity。
⚠️ Apr 20, 2026 | Ban Issued: 132.196.3.209 and 7 others
# --- Incident Log: 2026-04-20 ---
Target IP: 132.196.3.209
Status: Blacklisted (255 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,abuse@ripe.net,
Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such aswp-trackback.php,
wp-settings.php, wp-load.php,wp-includes/widgets.php, wp-includes/template.php
日本語補足:このIPは、WordPressの場所や中のファイルを何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置状況や公開された構成を
確認する意図と考えられる。コアファイルを広く順番に試す点が特徴。攻撃密度は High Activity。
Target IP: 135.119.27.9
Status: Blacklisted (174 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,abuse@ripe.net,
Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php,wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHP
ファイルの残存確認を狙ったと考えられる。管理系やプラグイン配下まで試す点が特徴。攻撃密度は Moderate。
Target IP: 158.158.74.143
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC),
AU, search-apnic-not-arin@apnic.net, Early
Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for wp_filemanager.phpand shell files such
as zoo.php, yw5bi63u.php,xxx.php, ws88.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイル
を探す意図と考えられる。短いシェル名を多数反復する点が特徴。攻撃密度は Moderate。
Target IP: 172.213.245.217
Status: Blacklisted (174 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,
abuse@ripe.net, Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp_filemanager.php,wp-blog-header.php, wp-admin/network/users.php,wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を
狙ったと考えられる。WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 20.203.188.128
Status: Blacklisted (171 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php
and shell files such as zoo.php, yw5bi63u.php,xxx.php, ws88.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。短いシェル名を多数反復する点が特徴。攻撃密度は Moderate。
Target IP: 20.91.129.11
Status: Blacklisted (22 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php
and shell files such as wp-post-data.php,shell20211028.php, Marvins.php, kcs.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる
。少数の代表的な候補を短時間で試す点が特徴。攻撃密度は Low Activity。
Target IP: 4.204.200.16
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php,wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの
残存確認を狙ったと考えられる。管理系やプラグイン配下まで試す点が特徴。攻撃密度は Moderate。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved),Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php andadministrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php
の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断し、CMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系とJoomla系の候補をまとめて試す点が特徴。攻撃密度は Moderate。⚠️ Apr 19, 2026 | Ban Issued: 20.111.61.194 and 11 others
# --- Incident Log: 2026-04-19 ---
Target IP: 20.111.61.194
Status: Blacklisted (27 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php and shell files such as
wp-post-data.php, shell20211028.php, shadow-bot.php, Marvins.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いシェル名を組み合わせる点が特徴。攻撃密度は Low Activity。
Target IP: 20.151.131.235
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-content/uploads/, wso.php, wp-mail.php, xmrlpc.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの構成確認や不審なPHPファイルの残存確認を
狙ったと考えられる。コア配下とアップロード先を広く探索する点が特徴。攻撃密度は High Activity。
Target IP: 20.203.141.81
Status: Blacklisted (662 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as baixy.php,
assacc.php, zz8.php, zyjhr.php, zvinn.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知または改変されたWebシェル名を探す意図と考えられる。
短いPHPファイル名を大量に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.203.143.130
Status: Blacklisted (230 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 20.215.185.132
Status: Blacklisted (24 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as yas.php,
w3llstore.php, tk.php, themes.php, sadcut1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を
狙ったと考えられる。テーマ関連に見せかけた名称も含めて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.215.244.72
Status: Blacklisted (228 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 20.215.248.211
Status: Blacklisted (345 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認や管理機能の露出確認を狙ったと考えられる。同一の候補パスを各環境へ反復する点が特徴。
攻撃密度は High Activity。
Target IP: 20.9.94.61
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php, wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの残存確認を
狙ったと考えられる。プラグイン配下や管理系パスまで広く試す点が特徴。攻撃密度は Moderate。
Target IP: 4.212.95.215
Status: Blacklisted (232 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 51.103.130.144
Status: Blacklisted (60 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zxcs.php, zwso.php,
wp-post-data.php, shell20211028.php, shadow-bot.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。複数の別名シェルをまとめて確認する点が特徴。攻撃密度は Moderate。
Target IP: 68.221.134.82
Status: Blacklisted (60 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zxcs.php, zwso.php,
wp-post-data.php, shell20211028.php, shadow-bot.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。複数の別名シェルをまとめて確認する点が特徴。攻撃密度は Moderate。
Target IP: 72.146.12.65
Status: Blacklisted (1336 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as baixy.php,
assacc.php, zz8.php, zyjhr.php, zvinn.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知または改変されたWebシェル名を探す意図と考えられる。
短いPHPファイル名を大量に反復する点が特徴。攻撃密度は Critical。⚠️ Apr 18, 2026 | Ban Issued: 134.209.76.67 and 9 others
# --- Incident Log: 2026-04-18 ---
Target IP: 134.209.76.67
Status: Blacklisted (40 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Broad Scan] probing for exposed repository file .git/config
日本語補足:このIPは、公開されてはいけない `.git/config` の場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定情報や管理用ファイルの露出確認を狙ったと考えられる。
単一の重要ファイルを反復して確認する点が特徴。攻撃密度は Low Activity。
Target IP: 158.158.109.157
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress系パスと短いPHP名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 20.151.105.117
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as xmlrpc.php,
wp-login.php, wp-trackback.php, wp-good.php, ws.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一の候補パスを各環境へ繰り返す点が特徴。
攻撃密度は Moderate。
Target IP: 20.215.216.144
Status: Blacklisted (356 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.215.248.211
Status: Blacklisted (174 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を狙ったと考えられる。
WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 20.223.204.92
Status: Blacklisted (360 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php,
zeal.php, wxpass.php, wso-x569.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。多数の短いPHP名を各環境へ
反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.78.172.67
Status: Blacklisted (174 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-mail.php, wp-config-sample.php, wp-good.php, wp-content/plugins/index.php, ws83.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
プラグイン配下や管理系パスまで広く試す点が特徴。攻撃密度は Moderate。
Target IP: 40.78.181.132
Status: Blacklisted (45 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
xmlrpc.php, wp-login.php, wp-trackback.php, wp-good.php, ws.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの残存確認を狙った
と考えられる。代表的なWordPress入口と短いPHP名を組み合わせて試す点が特徴。攻撃密度は Low Activity。
Target IP: 40.85.253.121
Status: Blacklisted (227 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-admin/network/, wp-content/uploads/, wso.php, xmrlpc.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの構成確認や管理機能の露出確認を狙ったと考えられる。
コア配下と管理系ディレクトリをまとめて探索する点が特徴。攻撃密度は High Activity。
Target IP: 88.218.46.12
Status: Blacklisted (37 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress config and backup paths such as wp-config.php,
wp-content/debug.log, wp-content/mysql.sql, wp-admin/install.php, wp-links-opml.php
日本語補足:このIPは、WordPressの設定ファイルやバックアップファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定情報やバックアップファイルの露出確認を狙ったと考えられる。
設定系とログ系のパスを順に試す点が特徴。攻撃密度は Low Activity。⚠️ Apr 17, 2026 | Ban Issued: 158.158.35.197 and 9 others
# --- Incident Log: 2026-04-17 ---
Target IP: 158.158.35.197
Status: Blacklisted (232 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php, xynz.php,
xper.php, wxpass.php, ws87.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。短いPHPファイル名を大量に反復する点が
特徴。攻撃密度は High Activity。
Target IP: 158.158.55.117
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress系パスと短いPHP名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 172.213.218.185
Status: Blacklisted (87 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を狙ったと
考えられる。WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 194.114.136.126
Status: Blacklisted (16 hits)
WHOIS Info: Owl Limited, Unknown (Unresolved), c/o Owl Limited, Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, vendor/.env, admin/.env,
eval-stdin.php
日本語補足:このIPは、公開されてはいけない設定ファイルや実行ファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定漏えいや既知の脆弱な実行パスを探す意図と考えられる。
.env 系と phpunit 関連パスを続けて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.100.169.43
Status: Blacklisted (352 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と
考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.199.125.41
Status: Blacklisted (356 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 72.146.43.163
Status: Blacklisted (273 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-login.php, wp_filemanager.php, wp-config-sample.php, test.php, main.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一の候補パスを各環境へ繰り返す点が特徴。
攻撃密度は High Activity。
Target IP: 74.248.131.183
Status: Blacklisted (342 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一パターンを各環境へ反復する点が特徴。
攻撃密度は High Activity。
Target IP: 89.169.170.131
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, secrets.env, phpinfo.php,
info.php, secret
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。
.env 系と情報表示系のパスを順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 92.62.120.132
Status: Blacklisted (12 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Web Shell Probe] probing for suspicious PHP files such as zwso.php, O-Simple.php,
mah.php, bless.php, .wp/wso.php
日本語補足:このIPは、不審なPHPファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと考えられる。
短時間で複数の候補名を試す点が特徴。攻撃密度は Low Activity。⚠️ Apr 16, 2026 | Ban Issued: 136.117.155.162 and 14 others
# --- Incident Log: 2026-04-16 ---
Target IP: 136.117.155.162
Status: Blacklisted (27 hits)
WHOIS Info: Google LLC (GOOGL-2), US, google-cloud-compliance@google.com, Direct Allocation
Comment: [Broad Scan] probing for exposed files such as .env, .git/config, actuator/env,
debug/default/view, .env.production
日本語補足:このIPは、設定ファイルや公開されてはいけないファイルの場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定漏えいや開発情報の露出を探す意図と考えられる。
.env や .git/config を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 158.158.55.96
Status: Blacklisted (297 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU,
search-apnic-not-arin@apnic.net, Early Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php,
fe5.php, dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤や共有インフラからのアクセスである可能性が高い。
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。候補名を広く反復する点が特徴。
攻撃密度は High Activity。
Target IP: 20.220.161.65
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-content/uploads/, xmrlpc.php, wso.php, wp-mail.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と不正ファイルの残存確認を同時に狙った
と考えられる。WordPress配下を広く列挙する点が特徴。攻撃密度は High Activity。
Target IP: 20.222.20.193
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp-mail.php, y.php,
x.php, ws83.php, wp-good.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後の設置先を探す意図と考えられる。
短いPHPファイル名を順に試す点が特徴。攻撃密度は Moderate。
Target IP: 20.48.178.163
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as
xmlrpc.php, wp-login.php, wp-trackback.php, wp-good.php, wp-conf.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不正ファイルの残存確認を狙ったと考えられる。同一パターンを各環境へ繰り返す点が特徴。
攻撃密度は Moderate。
Target IP: 212.87.219.175
Status: Blacklisted (37 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] probing WordPress backup and configuration files such as
wp-config.php, wp-config.php.bak, wp-content/debug.log, wp-admin/install.php, wp-links-opml.php
日本語補足:このIPは、WordPressの設定ファイルやバックアップファイルの場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定ファイルやバックアップから認証情報や内部情報を得る
\意図と考えられる。設定関連の派生名を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 45.133.5.10
Status: Blacklisted (582 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/style-engine/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPress構成の把握や露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙を続ける点が特徴。攻撃密度は High Activity。
Target IP: 45.133.5.27
Status: Blacklisted (290 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/style-engine/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPress構成の把握や露出した機能の確認を狙ったと
考えられる。WordPress配下を系統的に列挙する点が特徴。攻撃密度は High Activity。
Target IP: 45.133.5.29
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, xx.php,
xp.php, wso.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。侵入済み環境や残存バックドアを探す意図と考えられる。
既知のシェル名を大量に反復する点が特徴。攻撃密度は Critical。
Target IP: 45.133.5.54
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, xx.php,
xp.php, wso.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。侵入済み環境や残存バックドアを探す意図と考えられる。
既知のシェル名を大量に反復する点が特徴。攻撃密度は Critical。
Target IP: 62.197.156.35
Status: Blacklisted (126 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across common CMS paths
日本語補足:このIPは、複数の管理環境で、CMSの管理画面や xmlrpc.php の場所を何度も探していました。
備考:自動化された広域スキャンである可能性が高い。複数の管理環境を横断し、
CMSの種類や管理画面の露出を確認する意図と考えられる。共通パスを順番に試す点が特徴。攻撃密度は Moderate。
Target IP: 72.146.43.163
Status: Blacklisted (183 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp.php, wp-mail.php,
wp-login.php, test.php, main.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探したと考えられる。似た候補名を反復する点が特徴。
攻撃密度は Moderate。
Target IP: 74.248.32.74
Status: Blacklisted (584 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php, fe5.php,
dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。候補名を広く反復する点が特徴。攻撃密度は High Activity。
Target IP: 82.196.25.136
Status: Blacklisted (16 hits)
WHOIS Info: DATACENTER DZ, Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php
日本語補足:このIPは、WordPressのログインページを探していました。
備考:データセンター経由の自動化アクセスである可能性が高い。
認証画面の存在確認やその後のログイン試行の準備を狙ったと考えられる。単一の認証パスへ反復する点が特徴。
攻撃密度は Low Activity。
Target IP: 92.62.121.68
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing administrator and xmlrpc paths across common CMS locations
日本語補足:このIPは、CMSの管理画面や xmlrpc.php の場所を探していました。
備考:自動化された広域スキャンである可能性が高い。CMSの種類や管理画面の露出を確認する意図と考えられる。
管理画面系の共通パスを順番に試す点が特徴。攻撃密度は Low Activity。⚠️ Apr 15, 2026 | Ban Issued: 149.40.50.195 and 10 others
# --- Incident Log: 2026-04-15 ---
Target IP: 149.40.50.195
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Cogent Communications, LLC (COGC), US, abuse@cogentco.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell-related PHP files such as zwso.php,
O-Simple.php, mah.php, lock360.php, chosen.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を探していました。
備考:共有インフラやスキャン基盤からの自動化アクセスである可能性が高い。複数の管理環境を横断し、既知のWebシェルや不正ファイルの残存確認を狙ったと考えられる。候補名を広く試す点が特徴。攻撃密度は Moderate。
Target IP: 173.239.218.103
Status: Blacklisted (243 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有サーバやスキャン基盤からのアクセスである可能性が高い。WordPressの構成把握や露出した機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。
攻撃密度は High Activity。
Target IP: 20.215.240.253
Status: Blacklisted (305 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php,
fe5.php, dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを
探す意図と考えられる。候補名を反復して試す点が特徴。攻撃密度は High Activity。
Target IP: 20.220.62.139
Status: Blacklisted (549 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell and upload-related PHP files such as ty.php,
test1.php, inputs.php, wso2.php, wso1337.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、既知のWebシェルや不正アップロード先を探す意図と考えられる。候補名を繰り返し試す点が特徴。
攻撃密度は High Activity。
Target IP: 20.63.103.29
Status: Blacklisted (270 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell and upload-related PHP files such as ty.php,
test1.php, inputs.php, wso2.php, wso1337.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不正アップロード先を探す意図と考えられる。
候補名を反復して試す点が特徴。攻撃密度は High Activity。
Target IP: 34.169.222.161
Status: Blacklisted (25 hits)
WHOIS Info: Google LLC (GOOGL-2), US, google-cloud-compliance@google.com, Direct Allocation
Comment: [Broad Scan] probing for exposed files such as .env, .git/config, actuator/env,
debug/default/view, .env.production
日本語補足:このIPは、設定ファイルや公開されてはいけないファイルの場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定漏えいや開発用情報の露出を見つける意図と考えられる。
環境変数や設定関連の代表的な名前を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 35.77.47.249
Status: Blacklisted (34 hits across multiple environments)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressのログインページを探していました。
備考:AWS上の自動化アクセスである可能性が高い。認証画面の存在確認や、その後のログイン試行の準備を狙ったと考えられる。
対象を広く横断する軽量な探索が特徴。攻撃密度は Low Activity。
Target IP: 4.196.165.107
Status: Blacklisted (102 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ioxi-o.php, adminfuns.php,
admin.php, xmr.php, wp-themes.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすい管理系PHPファイルを探す意図と考えられる。複数の設置場所を変えながら試す
点が特徴。攻撃密度は Moderate。
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across common CMS paths
日本語補足:このIPは、複数の管理環境で、CMSの管理画面や xmlrpc.php の場所を何度も探していました。
備考:自動化された広域スキャンである可能性が高い。複数の管理環境を横断し、
CMSの種類や管理画面の露出を確認する意図と考えられる。複数の共通パスを順番に試す点が特徴。攻撃密度は Moderate。
Target IP: 88.151.32.223
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定漏えいから認証情報や接続情報を得る意図と考えられる。
機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。
Target IP: 88.151.34.212
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定漏えいから認証情報や接続情報を得る意図と考えられる。
機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。⚠️ Apr 14, 2026 | Ban Issued: 134.209.76.67 and 14 others
# --- Incident Log: 2026-04-14 ---
Target IP: 134.209.76.67
Status: Blacklisted (12 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Fingerprinting] probing for exposed repository file .git/config
日本語補足:このIPは、公開されてはいけない `.git/config` の場所を探していました。
備考:VPSやクラウド上の自動化スキャンである可能性が高い。設定情報や認証情報の手がかりを探す意図と考えられる。
単発に近い確認型アクセスが特徴。攻撃密度は Low Activity。
Target IP: 147.93.141.125
Status: Blacklisted (88 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as style.php,
txets.php, postnews.php, wp_mna.php, zwso.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤やボット経由である可能性が高い。WordPress設置状況の確認と、
不正ファイルの残存確認を同時に狙ったと考えられる。候補ファイル名を順番に試す動きが特徴。攻撃密度は Moderate。
Target IP: 173.239.218.10
Status: Blacklisted (1000 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, x.php,
wso.php, wp-user.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:共有インフラやスキャン基盤からの自動化アクセスである可能性が高い。
侵入済み環境を見つけるために既知のシェル名を大量に試したと考えられる。非常に高い反復数が特徴。攻撃密度は Critical。
Target IP: 20.100.203.4
Status: Blacklisted (14 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as wpls.php, wp_filemanager.php,
ssh3ll.php, new4.php, i6z19N.php
日本語補足:このIPは、不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不正アップロード先の有無を調べる意図と考えられる。
少数の代表的な候補に絞った確認が特徴。攻撃密度は Low Activity。
Target IP: 20.104.245.70
Status: Blacklisted (382 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as zz.php, zwq.php, ZSLeDE.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断して侵入済みサイトや残存シェルを探す意図と
考えられる。同一パターンを反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.151.218.28
Status: Blacklisted (200 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as xBrain.php, rc.php7, indo.php,
wp_filemanager.php, tesla1.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア名や改ざん後に置かれやすいファイルを探す意図と
考えられる。古いシェル名を広く試す動きが特徴。攻撃密度は High Activity。
Target IP: 20.151.248.149
Status: Blacklisted (387 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as wp_filemanager.php, ssh3ll.php,
wpls.php, new4.php, i6z19N.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境に同じ候補を投げて、侵入済み環境を探したと考えられる。
短時間に同型のアクセスを繰り返す点が特徴。攻撃密度は High Activity。
Target IP: 20.234.84.209
Status: Blacklisted (305 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as
wp-content/, ms-edit.php, fe5.php, dx.php, wp-content/admin.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と、不正配置ファイルの確認を同時に狙ったと
考えられる。管理系の場所と不審ファイル名を組み合わせる点が特徴。攻撃密度は High Activity。
Target IP: 20.234.9.131
Status: Blacklisted (200 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as xBrain.php, rc.php7, indo.php,
wp_filemanager.php, tesla1.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア名や改ざん後に置かれやすいファイルを探す意図と
考えられる。候補名を広く試す反復アクセスが特徴。攻撃密度は High Activity。
Target IP: 216.24.210.90
Status: Blacklisted (292 hits)
WHOIS Info: Rockion LLC (RL-861), US, netops@rockionllc.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有サーバやスキャン基盤からのアクセスである可能性が高い。
WordPressの構成把握や利用可能な機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。
攻撃密度は High Activity。
Target IP: 35.157.131.18
Status: Blacklisted (202 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Fingerprinting] probing for phpinfo and diagnostic files such as phpinfo.php,
server-info.php, server-status.php, test.php, pinfo.php
日本語補足:このIPは、`phpinfo` などの診断ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。実行環境の情報取得や設定確認を狙った事前調査と考えられる。
診断系ファイルへ広くアクセスする点が特徴。攻撃密度は High Activity。
Target IP: 35.77.47.249
Status: Blacklisted (23 hits across multiple environments)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressのログインページを探していました。
備考:AWS上の自動化アクセスである可能性が高い。認証画面の存在確認や、その後のログイン試行の準備を狙ったと
考えられる。対象を広く横断する軽量な探索が特徴。攻撃密度は Low Activity。
Target IP: 72.146.2.255
Status: Blacklisted (232 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as zogy1.php, yuzuru1.php,
wxpass.php, ws87.php, ws57.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のシェル名や派生名を広く試して侵入済み環境を探したと
考えられる。似た名前のファイルを連続で試す点が特徴。攻撃密度は High Activity。
Target IP: 88.151.33.247
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:広域スキャンや情報窃取目的の自動化アクセスである可能性が高い。設定漏えいから認証情報や接続情報を得る
意図と考えられる。複数種類の機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。
Target IP: 98.159.37.19
Status: Blacklisted (243 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/Text/Diff/, wp-includes/SimplePie/Parse/, wp-includes/SimplePie/Cache/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有インフラやスキャン基盤からのアクセスである可能性が高い。
WordPressの構成把握と露出した機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。攻撃密度は High Activity。⚠️ Apr 13, 2026 | Ban Issued: 13.71.185.179 and 13 others
# --- Incident Log: 2026-04-13 ---
Target IP: 13.71.185.179
Status: Blacklisted (1322 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for random PHP backdoor files such as css.php,
cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル残存確認を狙ったと考えられる。
複数の管理環境に同一パターンで反復アクセスしている。Critical.
Target IP: 20.166.82.91
Status: Blacklisted (249 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル設置先や不正ファイルの有無を調べる意図と考えられる。
短時間に多数の候補へアクセスしている。High Activity.
Target IP: 20.220.147.82
Status: Blacklisted (315 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP backdoor paths such as css.php, cong.php,
byp.php, alfa.php, wp-trackback.php
日本語補足:このIPは、不正なPHPファイルや不審な場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。侵入後に使われるファイルや公開漏れパスの確認を狙ったと考えられる。
候補名を広く試す探索が特徴。High Activity.
Target IP: 20.91.190.16
Status: Blacklisted (90 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP shell paths such as wp.php,
wp-widgets.php, wp_filemanager.php, up.php, info.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress設置環境で既知の不正ファイルや残存シェルを探す
意図と考えられる。WordPress系パスへの集中アクセスが特徴。Moderate.
Target IP: 20.91.201.27
Status: Blacklisted (302 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress directories and suspicious PHP paths
such as wp-content/, wp-content/admin.php, wp-update.php, wp-includes/Text/Diff/Engine/,
ms-edit.php
日本語補足:このIPは、WordPressの場所や不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と不正配置ファイルの発見を同時に
狙ったと考えられる。管理系ディレクトリと不審ファイル名の組み合わせが特徴。High Activity.
Target IP: 4.232.184.116
Status: Blacklisted (498 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試して侵入済み環境を探していたと
考えられる。複数の管理環境に同一の候補群でアクセスしている。High Activity.
Target IP: 45.133.5.105
Status: Blacklisted (292 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early
Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPressの構成把握と露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 45.133.5.16
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.
Target IP: 45.133.5.32
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.
Target IP: 45.133.5.7
Status: Blacklisted (292 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPressの構成把握と露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 62.197.156.35
Status: Blacklisted (140 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Fingerprinting] probing xmlrpc.php and administrator login paths to identify
WordPress and Joomla deployments
日本語補足:このIPは、複数の管理環境で、WordPressやJoomlaの管理画面の場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。CMSの種類と管理入口の有無を見分ける
意図と考えられる。xmlrpc.php と administrator 系パスの反復確認が特徴。Moderate.
Target IP: 68.221.68.131
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP shell paths such as wp.php,
wp-login.php, wp_filemanager.php, up.php, test.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress設置環境で既知の不正ファイルや公開漏れパスを探す意図と考えられる。
候補ファイル名を順に試す探索が特徴。Moderate.
Target IP: 89.251.0.185
Status: Blacklisted (243 hits)
WHOIS Info: Unknown (Unresolved), Canada, Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/Text/Diff/, wp-includes/SimplePie/Parse/, wp-includes/SimplePie/Cache/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤や共有インフラ経由である可能性が高い。WordPressの構成把握と利用可能な機能の確認を
狙ったと考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 89.251.0.197
Status: Blacklisted (1000 hits)
WHOIS Info: Unknown (Unresolved), Canada, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤や共有インフラ経由である可能性が高い。
既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.⚠️ Apr 12, 2026 | Ban Issued: 20.111.36.240 and 6 others
# --- Incident Log: 2026-04-12 ---
Target IP: 20.111.36.240
Status: Blacklisted (102 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for random PHP backdoor files such as wp_filemanager.php,
turbo.php, ss.php, small.php, ropyx.php
日本語補足:このIPは、Webシェルと思われるPHPファイルを何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア設置先や残存ファイルの有無を調べる
意図と考えられる。ランダムなPHP名への連続アクセスが特徴。Moderate.
Target IP: 20.111.60.230
Status: Blacklisted (303 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP backdoor paths such as ms-edit.php,
fe5.php, dx.php, admin.php, wp-update.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。侵入後に使われるファイルや管理系パスの露出確認を
狙ったと考えられる。単一の管理環境に対する反復試行が目立つ。High Activity.
Target IP: 4.245.205.135
Status: Blacklisted (251 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正に使われるPHPファイルがあるかを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試すことで侵入済み環境を探していた
と考えられる。短時間に多数の候補へアクセスしている。High Activity.
Target IP: 62.197.145.21
Status: Blacklisted (125 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Nassau, Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress core directories and web shell paths such as
zwso.php, wp-includes/, wp-admin/maint/, admin.php, .wp/wso.php
日本語補足:このIPは、複数の管理環境でWordPressの場所や不正ファイルの場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。
WordPress構成の把握と既知のWebシェル痕跡の確認を同時に狙ったと考えられる。複数の管理環境にまたがる探索が特徴。
Moderate.
Target IP: 62.197.156.35
Status: Blacklisted (154 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Sri Lanka, Unknown (Unresolved)
Comment: [Fingerprinting] probing xmlrpc.php and administrator login paths to identify
WordPress and Joomla deployments
日本語補足:このIPは、複数の管理環境でWordPressやJoomlaの管理画面の場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。CMSの種類と管理入口の有無を
見分ける意図と考えられる。xmlrpc.phpとadministrator系パスの反復確認が特徴。Moderate.
Target IP: 72.146.8.12
Status: Blacklisted (16 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp_filemanager
.php, w.php, new2.php, mjq.php, admin-filters.php
日本語補足:このIPは、不正に使われるPHPファイルを少ない回数で探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知の軽量Webシェルや管理系偽装ファイルの残存確認を
狙ったと考えられる。試行回数は少ないが対象は典型的。Low Activity.
Target IP: 74.248.134.16
Status: Blacklisted (251 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正に使われるPHPファイルがあるかを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試すことで侵入済み環境を
探していたと考えられる。短時間に多数の候補へアクセスしている。High Activity.⚠️ Apr 11, 2026 | Ban Issued: 2.26.82.41 and 3 others
# --- Incident Log: 2026-04-11 ---
Target IP: 2.26.82.41
Status: Blacklisted (25 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] probing for xmlrpc.php, wlwmanifest.xml across common WordPress paths
日本語補足:このIPは、WordPressでよく使われる xmlrpc.php や wlwmanifest.xml を探していました。
合計25回のアクセスがあり、ブラックリスト対象です。
備考:WordPress の有無や設置場所を調べる事前探索と考えられる。自動化されたスキャンの可能性が高い。
活動量は Low Activity。
Target IP: 20.216.168.122
Status: Blacklisted (326 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for tfm.php, nw.php, zlnckdxn.php, zc-104.php, yw5bi63u.php
日本語補足:このIPは、複数のPHPファイルを探していました。合計326回のアクセスがあり、ブラックリスト対象です。
備考:既知または不審なPHPファイルを広く探す挙動であり、Webシェルや不正配置ファイルの探索と考えられる。
クラウド環境を使った自動スキャンの可能性が高い。活動量は High Activity。
Target IP: 20.238.64.167
Status: Blacklisted (152 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for xwx1.php, xs.php, wp-turn.php, wp_filemanager.php,admin.php
日本語補足:このIPは、複数のPHPファイルやWordPress関連の場所を探していました。合計152回のアクセスがあり、
ブラックリスト対象です。
備考:不正ファイルや脆弱な管理系パスを探す探索行為と考えられる。クラウド環境を使った自動化スキャンの可能性が高い。
活動量は Moderate。
Target IP: 20.63.209.197
Status: Blacklisted (38 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for adminfuns.php, php8.php, php.php, admin.php, wp-good.php
日本語補足:このIPは、複数のPHPファイルやWordPress関連の場所を探していました。合計38回のアクセスがあり、
ブラックリスト対象です。
備考:Webシェルや管理用ファイルの残存を探す挙動と考えられる。クラウド環境を使った探索の可能性がある。
活動量は Low Activity。
⚠️ Apr 10, 2026 | Ban Issued: 194.169.171.37 and 7 others
--- Incident Log: 2026-04-10 ---
Target IP: 194.169.171.37
Status: Blacklisted (1292 hits)
WHOIS Info: Unknown Org, BO, Unknown, Unknown Type
Comment: 複数の管理環境に対し、wso.php や zwso.php といった操作用シェル(バックドア)の有無を 1,000 件以上探索。
日本語補足:過去に設置された、あるいは他サイトで成功例のある不正スクリプトのファイル名を総当たりでリクエストしている。
備考:今回のパトロールで最大のリクエスト数を記録。ボリビアの IP を経由しており、
攻撃者は公開されているバックドアリストを用いて、管理環境内に「足場」が残っていないか、
あるいは脆弱なアップローダーによって設置可能かを執拗に調査している。
Target IP: 4.223.70.225
Status: Blacklisted (327 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: yawa.php, wp1.php, dass.php 等、ランダムかつ特徴的な PHP ファイルへの集中アクセス。
日本語補足:攻撃キットが生成したと思われる非正規のファイル名をターゲットに、
サーバー上の実行権限を確認しようとする試行。
備考:Azure のインフラを悪用した自動化スキャン。特定の脆弱性というよりは、既に侵入に成功した痕跡を探す、
あるいは特定の攻撃グループが好んで使うファイル名での「巡回」である可能性が高い。
Target IP: 20.251.51.29
Status: Blacklisted (297 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-content ディレクトリ以下や、fe5.php, ms-edit.php といったファイルへの探索。
日本語補足:WordPress のコンテンツディレクトリ内に不正なスクリプトを隠蔽、または編集しようとする一連の挙動。
備考:4.223.70.225 と同様、Microsoft 経由の広範囲なスキャンキャンペーンの一環。特に WordPress
の構造を理解した上で、改ざんや不正アクセスを試みようとする意図が明確。
Target IP: 20.63.209.197
Status: Blacklisted (229 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: adminfuns.php や wp-includes 下の特定ディレクトリ、および .well-known への詳細な偵察。
日本語補足:管理機能に関連するファイルや、証明書更新等に使われるディレクトリを狙い、設定の不備や情報漏洩を狙う。
備考:特定の管理環境に対して集中的にリクエストを投げており、
環境固有のディレクトリ構造を把握しようとする高度な偵察活動。
Target IP: 62.197.156.35
Status: Blacklisted (133 hits across multiple sites)
WHOIS Info: Unknown Org, LK, Unknown, Unknown Type
Comment: xmlrpc.php や Joomla の管理者パス(/administrator/index.php)への横断的なアクセス。
日本語補足:CMS 特有の機能を悪用したブルートフォース攻撃や、ログイン画面への到達を目的とした広域スキャン。
備考:スリランカの IP を経由。WordPress だけでなく Joomla 等、複数の CMS をターゲットに含めており、
脆弱な入り口を探すための無差別なボット活動。
Target IP: 134.199.170.14
Status: Blacklisted (51 hits across multiple sites)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: 複数の管理環境に対し、wp-admin/install.php の存在を執拗に確認。
日本語補足:WordPress が再インストール可能な「未セットアップ状態」になっていないかを、
ディレクトリ階層を変えながら確認している。
備考:DigitalOcean のクラウド環境を悪用。設定不備のあるサイトを自動で見つけ出し、
即座に管理者権限を乗っ取るための準備行為(Reconnaissance)。
Target IP: 46.250.169.104
Status: Blacklisted (13 hits)
WHOIS Info: Packethost.net, NL, abuse@packethost.net, Allocated to RIPE NCC
Comment: 使用中のテーマ(Swell)のアセットファイルや、特定のプラグインパスへのピンポイントなアクセス。
日本語補足:サイトのフロントエンドを構成するファイル群を読み込み、
導入されているテーマやプラグインのバージョンを特定する。
備考:オランダのホスティングサービスを経由した「フィンガープリント採取」行為。
脆弱性が判明している古いバージョンのプラグインが使われていないかを精査するための事前調査。
Target IP: 20.89.240.100
Status: Blacklisted (73 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-includes 内の JS ファイルや、idx_... といった難読化された PHP ファイル名へのリクエスト。
日本語補足:WordPress のコアシステム内に不正なファイルが紛れ込んでいないか、
あるいは正規ファイルに偽装したバックドアを探る。
備考:Azure 経由のスキャン。コアファイル内にバックドアを設置しようとする、
あるいは既知のマルウェアが残したファイル名を探る動きであり、高い警戒が必要。⚠️ Apr 9, 2026 | Ban Issued: 13.74.146.113 and 6 others
--- Incident Log: 2026-04-09 ---
Target IP: 13.74.146.113
Status: Blacklisted (403 detected)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対し、wp-mn.php や wp-gr.php といったバックドア設置の有無を探索。
日本語補足: 侵入後の操作用シェルスクリプトが既に置かれていないか、ファイル名をしらみつぶしに確認する
\ハンティング行為。
備考: 攻撃者はあらかじめリスト化された「バックドアの可能性が高いパス」を巡回している。Microsoft
のインフラを偵察の踏み台として利用している典型的な例だ。
Target IP: 172.161.76.32
Status: Blacklisted (208 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: 短時間でのランダムな PHP ファイル名(zoper1.php, yussef.php 等)に対する総当たりスキャン。
日本語補足: 攻撃ツールを用いて、サーバー上に存在する可能性のある不正ファイルを高速でスキャンしている。
備考: リクエスト数が200を超えており、自動化されたボットによる集中的な攻撃。RIPE 管轄の IP を経由しており、
追跡を逃れる意図が見える。
Target IP: 172.213.26.45
Status: Blacklisted (21 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: wp_filemanager.php などの特定プラグインの脆弱性パスへの集中アクセス。
日本語補足: 過去に脆弱性が報告されたファイルマネージャー系プラグインの隙を突き、
ファイル操作権限を奪取しようとする試行。
備考: 特定の脆弱性をターゲットにした「ピンポイント・スキャン」。.well-known ディレクトリへのアクセスも
含まれており、環境設定の不備を狙っている。
Target IP: 20.203.160.85
Status: Blacklisted (42 hits across multiple sites)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対して全く同一のパス(x123.php, database.php 等)を執拗にスキャン。
日本語補足: 複数のドメインを管理している環境に対し、共通して存在する脆弱性がないか一斉に調査している。
備考: Azure 経由のボットネットによる横断的な偵察活動。同一パターンの攻撃が複数のサイトで検知されてい
ることから、広範囲なスキャンキャンペーンの一環と考えられる。
Target IP: 20.223.185.167
Status: Blacklisted (225 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 特定の管理環境に対する、200回以上の連続したバックドア探索。
日本語補足: 攻撃対象を一つに絞り、侵入の足がかりとなる PHP ファイルが存在しないか執拗にリクエストを
繰り返している。
備考: 今回のパトロールで最も攻撃密度の高い IP。特定のキーワード(wps, wpyur 等)
を含むファイル名へのアクセスが目立ち、特定の攻撃キットを使用している可能性が高い。
Target IP: 20.89.16.190
Status: Blacklisted (45 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress 内部構造(autoload_classmap.php 等)を狙った詳細な偵察。
日本語補足: WP のコアファイルやプラグイン構成を読み取ろうとし、システム内部の情報を引き出そうとする行為。
備考: ファイルの有無を確認するだけでなく、システムのディレクトリ構造を把握しようとする高度な偵察。
侵入に向けた「事前調査」の段階と推測される。
Target IP: 52.243.57.116
Status: Blacklisted (368 hits total)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-includes ディレクトリ以下のシステムファイルおよびディレクトリ構造に対する網羅的な探索。
日本語補足: WordPress のシステム深部にあるファイル群をなめるように走査し
設定ミスによる情報漏洩や脆弱性を探っている。
備考: 複数の管理環境に対して非常に高い頻度でアクセスを繰り返している。ディレクトリ・
リスティングが有効になっていないか、あるいは特定の証明書関連ファイル(.well-known/acme-challenge/)
を悪用できないか試行している。⚠️ Apr 8, 2026 | Ban Issued: 134.199.168.183 and 2 others
--- Incident Log: 2026-04-08 ---
Target IP: 134.199.168.183
Status: Blacklisted (403/301 detected)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: 管理環境内の .git/config に対するスキャン行為。
日本語補足: 開発環境の残骸や、不用意に公開されたリポジトリ設定ファイルの探索。
備考: /.git/config へのアクセスは、リポジトリのメタデータ(ブランチ情報、リモートURL、
場合によっては認証トークン)を奪取し、ソースコード全体を復元しようとする明確な攻撃意図がある。
DigitalOcean のノードを介した、オートメーション化された偵察活動と推測される。
Target IP: 20.234.6.239
Status: Blacklisted (292 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress 関連のバックドア(PHPファイル)および管理画面への集中スキャン。
日本語補足: ms-edit.php や fe5.php など、既知の脆弱性や過去に設置された可能性のある不正スクリプトをしらみつぶしに探る試行。
備考: 300回近いリクエストが短時間に行われており、Azure 経由のボットネットによる脆弱性スキャン。
攻撃対象を WordPress に絞り、ファイルシステムへの侵入経路を探っている。
Target IP: 91.239.157.185
Status: Blacklisted (113 hits)
WHOIS Info: Clouvider Limited, Unknown Country, Unknown Abuse Contact, Unknown Type
Comment: wp-includes ディレクトリ以下のシステムファイル群に対する詳細な構造探索。
日本語補足: 複数の管理環境に対して、WordPress の内部構造をなめるように走査している。
備考: 特定のプラグインやテーマの脆弱性を突くための事前調査と思われる。Clouvider
のインフラが悪用されている典型的なパターンだ。⚠️ Apr 7, 2026 | Ban Issued: 172.71.144.158 and 3 others
--- Incident Log: 2026-04-07 ---
Target IP: 172.71.144.158
Status: 403 (91), 404 (2)
WHOIS Info: Cloudflare, Inc. (CLOUD14), US, abuse@cloudflare.com, Direct Allocation
Comment: 環境変数ファイル(.env)や Git 構成情報の探索。複数の管理環境において、
特定のディレクトリ構造を推測した執拗なスキャンを確認。
Target IP: 20.220.213.131
Status: 301 (191), 404 (161)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress のバックドア(alfa-rex.php 等)や管理機能を狙った高頻度スキャン。
リダイレクトを多用する挙動が特徴。
Target IP: 20.215.70.55
Status: 301 (86), 404 (86)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp_filemanager.php を含むプラグイン脆弱性の探索。前日(04-06)から継続して
高い試行回数を維持しており、執着が強い。
Target IP: 51.103.237.230
Status: 301 (49), 404 (37)
WHOIS Info: Microsoft, ??, One Microsoft Way, Unknown Type
Comment: WordPress プラグイン(hellopress)の脆弱性および内部ライブラリ(Text/Diff 等)
への網羅的なアクセス試行。⚠️ Apr 6, 2026 | Ban Issued: 20.215.70.55 and 2 others
--- Incident Log: 2026-04-06 ---
Target IP: 20.215.70.55
Status: 404, 301 (Total: 172 Hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対して、非常に高い頻度でPHPシェルや特定のWordPressプラグイン(hellopress等)
の脆弱性を狙ったスキャンを試行。攻撃の試行回数が突出しており、今回のブラックリスト登録における最優先対象。
Target IP: 62.197.156.35
Status: 404, 301, 403 (Total: 35 Hits per site)
WHOIS Info: Unknown Org, LK (Sri Lanka), Unknown Type
Comment: xmlrpc.php への攻撃や、WordPress/Joomla! の管理画面(/administrator/)のパスを執拗に探索。
攻撃対象のディレクトリ構造を推測しながら横断的にスキャンする、偵察型の挙動が特徴。
Target IP: 52.243.57.116
Status: 403 (Total: 142 Hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: .well-known や wp-includes といった、サーバーのシステム構成や証明書情報、
内部ライブラリが露出していないかをチェックする網羅的なスキャン。403で遮断できているが、
インフラ構造を把握しようとする意図が見える。⚠️ Apr 5, 2026 | Ban Issued: 158.158.32.192 and 4 others
--- Incident Log: 2026-04-05 ---
Target IP: 158.158.32.192
Status: 404, 301 (Hit: 44 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): APNIC, AU,
search-apnic-not-arin@apnic.net, Early Registrations
Comment: 複数の管理環境に対し、wp_filemanager.php や Jcrop.php など、
バックドアの設置や既知の脆弱性を突くファイルを標的とした執拗なスキャン。
Target IP: 20.194.4.154
Status: 404, 403 (Hit: 43 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境において、WordPress の内部構造(wp-includes)やテーマディレクトリを
網羅的に探索。情報の露出を狙った偵察活動。
Target IP: 4.225.160.61
Status: 404, 301 (Hit: 172 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対し、短時間で 170 回を超える異常な頻度でアクセス。
高負荷な自動スキャンによる脆弱性調査。
Target IP: 52.243.57.116
Status: 404, 301 (Hit: 35 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: /wp-admin/user や cgi-bin などを探索。サーバー設定やユーザー情報の取得を目的とした広範な偵察。
Target IP: 62.197.156.35
Status: 404, 301, 403 (Hit: 35 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Unknown Org,
Sri Lanka, Unknown, Unknown Type
Comment: サブディレクトリ(/v1/, /main/ 等)にある xmlrpc.php や管理画面を狙ったスキャン。
構造を推測した標的型攻撃。
本日のログにおける最大の特徴は、Microsoft (Azure) の IP 群による非常に高いスキャン頻度である。
特に 4.225.160.61 は単一の環境に対して短時間で 172 回ものアクセスを試行しており、
クラウドプラットフォームの計算リソースを悪用した、絨毯爆撃的な脆弱性診断が行われている実態が浮き彫りとなった。
また、158.158.32.192 のスキャンリストには、古いものから比較的新しいものまで多様なプラグインの
脆弱性攻撃が含まれており、攻撃の執拗さが際立っている。しかしながら、全リクエストにおいて
404(Not Found)や 403(Forbidden)が返されており、現在導入されている 「VPN 経由のみ許可するホワイトリスト方式」
および 「.htaccess による IP ブロック」 の多層防御が、意図した通り極めて有効に機能していることが確認された。⚠️ Apr 4, 2026 | Ban Issued: 20.151.229.110 and 2 others
--- Incident Log: 2026-04-04 ---
Target IP: 20.151.229.110
Status: 404, 403, 301
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (Azure),
USA, abuse@microsoft.com, Data Center
Comment: バックドア(shell.php)やプラグインの脆弱性を狙った執拗な自動スキャン。管理画面(/wp-admin/)
への侵入も試みているが、403 で正しく遮断されている。
Target IP: 82.157.172.195
Status: 200 (POST)
WHOIS Info (Org, Country, Abuse Contact, Type): Alibaba (Beijing)
Technology, China, abuse@aliyun.com, Cloud Provider
Comment: WordPress のログイン試行(wp-login.php)を繰り返している。ブルートフォース攻撃の初期段階と考えられる。
Target IP: 137.220.224.16 (および .15, .7 等の同一セグメント)
Status: 403
WHOIS Info (Org, Country, Abuse Contact, Type): DigitalOcean,
USA, abuse@digitalocean.com, Cloud Provider
Comment: xmlrpc.php へのアクセスを試みている。Pingback 攻撃やブルートフォース攻撃の踏み台にされる可能性があるが、
現在は 403 で防御済み。⚠️ Apr 2, 2026 | Ban Issued: 172.70.246.0/24 and 5 others
--- Incident Log: 2026-04-02 ---
Target IP: 162.158.95.233 / 162.158.95.234
Status: 403 Forbidden / 301 Moved Permanently
WHOIS Info: Cloudflare, Inc. (US, abuse@cloudflare.com)
Comment: 複数の管理環境に対して、環境設定ファイル(.env)およびGitリポジトリ(.git)の構造を執拗に探索。
備考:
Cloudflareのプロキシ越し、あるいは同社インフラを利用した攻撃。特定のアプリケーション脆弱性を突くのではなく、
開発者の「置き忘れ」を狙う偵察フェーズの動きだ。特に .env に含まれるAPIキーやDB接続情報の奪取、
.git/config からのソースコード漏洩を狙っており、403を返せている現在の防御設定は極めて有効に機能している
Target IP: 20.203.142.71 / 74.234.75.219 / 74.248.17.99
Status: 404 Not Found / 301 / 403
WHOIS Info: Microsoft Corporation (US, abuse@microsoft.com)
Comment: 複数の管理環境に対し、大量の不審なPHPファイル(z60.php, ws*.php等)へのアクセス試行。
備考:
Azure等のMSインフラを悪用したボットネットによるスキャン。アクセスパスから察するに、過去に流行したウェブシェル
(WeevelyやChina Chopper等)のバックドアが設置されていないか、あるいは脆弱なアップローダーが存在しないかを探っている。
ファイル名が規則的(ws40〜ws86など)なのは、辞書攻撃による総当たりが行われている証拠だ。⚠️ Apr 1, 2026 | Ban Issued: 172.70.246.0/24 and 5 others
--- Incident Log: 2026-04-01 ---
1. 環境変数ファイル(.env)および .git ディレクトリの探索
Target IP: 172.70.246.0/24 (代表: 172.70.246.228, .229, .43)
Status: 301, 403, 404
WHOIS Info: Cloudflare, Inc. (US), abuse@cloudflare.com, Direct Allocation
Comment: .env, .env.bak, .env.staging などの環境変数ファイル、および .git/config, .git/index
といった内部情報の窃取を狙った直接的な探索。
備考: 今回のパトロールで最も警戒すべき攻撃。Cloudflare のプロキシを隠れ蓑にし、
複数の管理環境に対して構造的に重要なファイルをピンポイントで狙っている。.htaccess によるアクセス制限が完璧に
機能しており、全て 403/404 で完封していることを確認。リスク低減のため、当該サブネットを広域遮断(/24)する措置を講じた。
2. WordPress 脆弱性およびバックドア設置ファイルの総当たり
Target IP: 72.146.16.175, 20.208.32.234, 98.71.65.172
Status: 301, 403, 404
WHOIS Info: Microsoft Corporation (US), abuse@microsoft.com, Direct Allocation
Comment: hellopress/wp_filemanager.php 等のプラグイン脆弱性、および zlnckdxn.php
といったランダム生成されたバックドア用ファイルへのアクセス試行。
備考: Azure のインフラを悪用した大規模なボットスキャン。リクエスト数は 700 件を超えており、
既知の脆弱性パスを片っ端から叩く機械的な総当たり攻撃。管理環境に WordPress の痕跡がないか、
あるいは既にバックドアが設置されていないかを調査しているものと推測される。
3. CMS 初期設定ファイルおよび管理ディレクトリの探索
Target IP: 170.64.171.221, 74.248.131.153
Status: 301, 403, 404
WHOIS Info: DigitalOcean, LLC (US) / Microsoft Corporation (US), Direct Allocation
Comment: /wp-admin/install.php や admin.php, backup.php など、CMS のセットアップ段階や管理画面の
出を狙った偵察。
備考: サイト構築時の「消し忘れ」や「デフォルト設定」を突こうとする古典的かつ執拗な攻撃。特に /web/ や /backup/
といったディレクトリ名を推測して再帰的にスキャンを行っている。攻撃者の意図は特権アクセスの奪取であり、
多層防御によるパス秘匿が有効に機能している。
PCfan
2026年4月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
2026-04に検知された複数の管理環境に対する不正通信の技術的記録。Oracle Cloudからの執拗なブルートフォース攻撃、Azureインフラによる網羅的な脆弱性スキャン、およびVP…
⚠️ Mar 31, 2026 | Ban Issued: 18.141.144.214 and 4 others
--- Incident Log: 2026-03-31 ---
1. 情報露出・環境設定の探索
Target IP: 18.141.144.214
Status: 403, 404
WHOIS Info: Amazon Technologies Inc. (US), trustandsafety@support.aws.com, Direct Allocation
Comment: phpinfo や .env、.git/config といった機密情報の露出を狙った典型的な偵察行動。
備考: AWSのインフラを悪用したスキャン。特定のアプリケーションを狙うというよりは、設定ミスで公開状態にあるファイルを機械的に探している。403が返っていることから、こちらの防御策(.htaccess等)
が有効に機能していることが確認できる。
2. 広範囲なPHPバックドア・脆弱性スキャン
Target IP: 51.120.81.94
Status: 301, 404
WHOIS Info: Microsoft (NO), (via RIPE), Legacy
Comment: tfm.php や nw.php など、攻撃者が設置した可能性のあるバックドアファイルへの執拗なアクセス試行。
備考: Azureのノルウェーリージョンを起点とした攻撃。リクエスト数が281回と多く、総当たり的なスキャンを行っている。
301リダイレクトが多発しているのは、管理環境のディレクトリ構造をなぞろうとしているためと考えられるが、
最終的に実ファイルへの到達は阻止している。
3. CMSテンプレート・シェルスクリプト狙いの集中スキャン
Target IP: 45.91.20.125, 45.91.20.192, 45.91.20.91
Status: 301, 403, 404
WHOIS Info: RIPE NCC (NL), abuse@ripe.net, Transferred to RIPE NCC
Comment: Go-http-client を使用し、WordPressやJoomlaのテンプレート、および wso.php
などのWebシェルを標的としたスキャン。
備考: 同一サブネット(45.91.20.0/22付近)からの波状攻撃。Go-http-client を用いた自動化スクリプトによるもので、
特定の既知の脆弱性があるパス(beez3, cassiopeia 等)を高速に叩いている。
複数の管理環境を跨いで同様のパターンが見られることから、組織的なスキャン活動と推測される。⚠️ Mar 30, 2026 | Ban Issued: 130.131.193.97 and 3 others
--- Incident Log: 2026-03-30 ---
Target IP: 130.131.193.97
Status: 301, 404
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment:252 回もの広範囲な PHP ファイルスキャン。yuzuru1.php や xpass.php など、
バックドア設置を狙ったランダムな試行が目立つ。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
オランダのレガシーネットワークを足場にした、典型的な脆弱性スキャンボット。設置済みのバックドアを探索する挙動であり、
301/404 で適切に処理されているが、リクエスト数が多いためブラックリストへの即時登録。
Target IP: 144.91.103.84
Status: 301, 404
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment: wp-content/plugins/shell/about.php 等、特定の WordPress プラグインやテーマの脆弱性を標的としたスキャン。
User-Agent の綴りミス(Mozlila)から、低質なボットによるものと断定。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
既知の脆弱性があるプラグインがインストールされているかを確認し、リモートコード実行(RCE)を狙う偵察行動。
User-Agent の偽装が甘い点から、大規模にばら撒かれているスキャンツールの一環と考えられる。
Target IP: 172.213.218.14
Status: 403
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment: wp-mn.php や admin.php など、管理機能への執拗なアクセス試行。198 回すべてのリクエストが 403
で遮断されており、防御が鉄壁に機能している。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
管理ダッシュボードへのブルートフォース、あるいは管理用バックドアの探索。構築したホワイトリスト方式
攻撃者は一歩も内部に踏み込めていない。
Target IP: 20.215.208.85
Status: 301, 404, 403
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation, US,
abuse@microsoft.com, Data Center
Comment: 複数の管理環境に対し、387 回もの執拗なリクエスト。
wp-mn.php や adminfuns.php など、多角的なパス探索を行っている。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
Azure インフラを悪用した構造的な攻撃。特定の PHP ファイルを狙い撃ちにするだけでなく、
ディレクトリ構造を網羅的に調査している。攻撃回数が今回のパトロールで最大であり、最も警戒すべき IP である。⚠️ Mar 29, 2026 | Ban Issued: 1.92.214.15 and 2 others
--- Incident Log: 2026-03-29 ---
Target IP: 1.92.214.15
Status: 200 (Success) / 404 (Not Found)
WHOIS Info:
Org: Huawei Cloud Service
Country: CN
Abuse Contact: ipas@cnnic.cn
Type: Cloud Service / Data Center
Comment: wp-login.php へのアクセス後、テーマ(SWELL)のCSSやJSファイルを執拗にロードしている。
特定の脆弱性を探るための事前調査、あるいはスクレイピングの可能性がある。
Target IP: 146.190.30.237
Status: 301 (Redirect) / 404 (Not Found)
WHOIS Info:
Org: DigitalOcean, LLC
Country: US
Abuse Contact: abuse@digitalocean.com
Type: VPS / Cloud Hosting
Comment: file.php, NewFile.php といった典型的なバックドア(Webシェル)のファイル名を
手当たり次第にスキャンしている。典型的な自動攻撃ボットによる脆弱性探索。
Target IP: 192.240.182.43
Status: 403 (Forbidden)
WHOIS Info:
Org: Liquid Web, L.L.C
Country: US
Abuse Contact: abuse@liquidweb.com
Type: Managed Hosting / Cloud
Comment: wp-login.php に対する GET/POST リクエストを短時間に繰り返し実行。
ブルートフォース攻撃を試みているが、現状は 403 で適切に遮断されている。⚠️ Mar 28, 2026 | Ban Issued: 34.235.124.97 and 5 others
--- Incident Log: 2026-03-28 ---
Target IP: 34.235.124.97
Status: 403 Forbidden (377 counts)
WHOIS Info: Amazon Technologies Inc. (Org), US (Country),
trustandsafety@support.aws.com (Abuse Contact), Cloud Provider (Type)
Comment: .env, .env.production, .gitlab-ci/.env 等の環境設定ファイルを執拗に狙ったプロンプト。
403で完封されているが、特定のフレームワーク(Laravel/GitLab CI等)を前提とした偵察活動。
Target IP: 51.103.152.71
Status: 404 Not Found, 301 Moved Permanently (252 counts)
WHOIS Info: Microsoft Corporation (Org), EU/NL (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: yuzuru1.php, xpass.php, ad.php など、ランダムなファイル名を用いたバックドア探索。
リクエストの多くが pc-fan.net(複数の管理環境)に向けられており、脆弱なPHPスクリプトの有無を調査している。
Target IP: 20.111.9.0
Status: 301, 404, 403 (304 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: Joomlaのエクステンション(mod_simplefileuploadv1.3)や radio.php など、
CMSのプラグイン脆弱性をターゲットにしたスキャン。広範囲に渡るパスを探索しており、自動化された攻撃ボットと思われる。
Target IP: 148.113.9.23
Status: 403 Forbidden (12 counts)
WHOIS Info: OVH Hosting, Inc. (Org), CA (Country),
abuse@ovh.ca (Abuse Contact), Hosting Provider (Type)
Comment: /wp-login.php に対するPOSTリクエストを確認。
典型的なブルートフォース攻撃(総当たり攻撃)を試行している。回数は少ないが、継続的な監視が必要。
Target IP: 162.215.172.35
Status: 403 Forbidden (12 counts)
WHOIS Info: Unified Layer (BLUEH-2) (Org), US (Country),
abuse@bluehost.com (Abuse Contact), Hosting Provider (Type)
Comment: 上記 OVH の IP と同様、/wp-login.php へのPOSTリクエストを実行。User-Agent
を頻繁に変更しながらログインを試みており、攻撃ツールを使用している可能性が高い。
Target IP: 20.100.192.188 / 72.146.33.200
Status: 404, 301 (計 576 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: 同一の攻撃ソース(Azure)から gfd.php, callback.php, bolt.php 等を探索。
リクエストパターンが完全に一致しており、分散されたノードから同一のターゲットに対してスキャンを実行している。⚠️ Mar 27, 2026 | Ban Issued: 20.151.201.236 (Single IP)
--- Incident Log: 2026-03-27 ---
Target IP: 20.151.201.236, 20.203.177.158, 20.63.96.180, 20.111.48.171, 20.215.248.112, 20.48.232.178
Status: 301, 404, 403
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (Washington, Redmond)
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Azure Infrastructure)
Comment: 複数の管理環境において、Azureの計算資源を悪用した大規模かつ組織的な脆弱性スキャンを検出。
備考:
これは「クラウド・スキャン・アーミー(雲上の軍勢)」による絨毯爆撃だ。特定のIPが複数のドメインに対し、
WordPressの脆弱なプラグインパス(ultra.php)やデータベース管理ツール(adminer.php)、
さらにはバックドアの残骸(aves.php, fiyhxaae.php)を秒単位で精査している。
特筆すべきは、アクセス元の分散化だ。同一のOrganization(Microsoft)に属する異なるセグメントから、
まるで交代制のように波状攻撃を仕掛けてきている。これは自動化されたボットネットが、
検知を逃れるためにIPをローテーションさせながら「開いている扉」を探している証拠。本日、
抽出されたAzure系の全攻撃IPを統合ブラックリストへ一括登録し、外堀を完全に埋める処置を完了した。⚠️ Mar 26, 2026 | Ban Issued: 194.5.53.0/24 Subnet Block
--- Incident Log: 2026-03-26 ---
Target IP: 194.5.53.0/24
Status: 301, 403
WHOIS Info:
Org: VPN Consumer Paris, France
Country: FR
Abuse Contact: abuse-reports@vpnconsumer.com
Type: Assigned PA
Comment 日本語補足: .207, .222, .250 等から波状攻撃を確認。
WPプラグインディレクトリを執拗に探索するボットセグメント。
Target IP: 20.104.199.149
Status: 404, 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対し、w.php, css.php 等、
特定のバックドア用ファイル名の存在を確認するスキャン。
Target IP: 72.146.6.194
Status: 404, 301
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: hellopress や wp_filemanager.php 等、
既知の脆弱性を持つプラグインパスを狙った試行。
Target IP: 52.188.122.85
Status: 404, 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 20.104.199.149 と同期した動きを見せる。
Azureインフラを悪用した分散スキャンの疑い。
Target IP: 20.222.18.47
Status: 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 短時間に 25 回の拒否応答を誘発。
特定の管理環境へのアクセスを執拗に試行。
備考:
今回の特筆すべき点は、フランスのVPNサービス(VPN Consumer)を経由した攻撃が、
同一セグメント(194.5.53.x)内で複数のIPを使い分けていたことです。これに対し、/24 での
レンジブロックを適用したことで、今後の同セグメントからの再来を未然に防ぐことが可能となりました。
また、Microsoft Azure(AS8075)からのアクセスが依然として多く、これらは主にWordPressの構造
(wp-admin, wp-content)や、攻撃者が設置を狙う特定のPHPファイル名を総当たりで叩く「偵察型」
の攻撃パターンです。.htaccess の更新により、これらの試行はアプリケーション層に到達する前に
すべて 403 で遮断されています。⚠️ Mar 25, 2026 | Ban Issued: 195.189.97.40 and 2 others
--- Incident Log: 2026-03-25 ---
Target IP: 195.189.97.40
Status: 403 Forbidden
WHOIS Info:
Org: Cherry Servers NOC
Country: LT (Lithuania) / NL (Netherlands)
Abuse Contact: abuse@cherryservers.com
Type: ASSIGNED PA (Dedicated/Cloud Hosting)
Comment 日本語補足: 複数の管理環境における、環境設定ファイル(.env)およびそのバックアップファイルへの
執拗なアクセス試行。
備考:
これは「機密情報(クレデンシャル)ハンティング」。.envはデータベースのパスワードやAPIキーが
記述されていることが多いため、それを狙っている。特に .env.bak や .env.old といった、
エディタの自動生成や人間が手動で作ったバックアップを狙うのは、サーバー管理者の「うっかりミス」を突く常套手段だ。
リトアニアのホスティングサービスを経由している。
Target IP: 4.223.137.201
Status: 403 Forbidden
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対して、不審なPHPファイル群への高速なGETリクエストを確認。
備考:
典型的な「脆弱性スキャン」の動き。特定のCMS(WordPressなど)に限らず、
ありとあらゆるPHPスクリプトのファイル名を総当たりで叩いている。わずか数秒の間に160行以上のリクエストが飛んでおり、
自動化されたBotによる攻撃。Microsoftのクラウドインフラが悪用されているか、
スキャン用踏み台として利用されている可能性が高い。
Target IP: 20.63.0.132
Status: 404 Not Found / 403 Forbidden
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対し、WordPressの内部構造(wp-includes等)や設定ファイルを標的としたスキャン。
備考:
こちらはWordPress(WP)に特化した「エンドポイント探索」だ。xmlrpc.php や wp-config.php
へのアクセス試行が含まれており、WPの脆弱性や設定不備を突いて侵入を試みようとしている。
先ほどと同じくMicrosoftのネットワークからだが、ターゲットを絞っている分、より意図的な攻撃に見える。
PCfan
Credential Hunting | .envファイルを狙う「静かなる執着」と、バックアップ放置の危うさ
2026年3月25日に検知した、環境設定ファイル(.env)を執拗に狙う機密情報ハンティングの記録。リトアニアのホスティング発、195.189.97.40の攻撃手法と境界線での防御措置…
⚠️ Mar 24, 2026 | Ban Issued: 46.250.173.92 (Single IP)
--- Incident Log: 2026-03-24 ---
Target IP: 46.250.173.92
Status: 404 (1回), 200 (13回)
WHOIS Info:
Org: RIPE NCC (End-user assigned)
Country: NL / EU
Abuse Contact: abuse@ripe.net
Type: Assigned PA (Likely Infrastructure or Hosting)
Comment: 複数の管理環境において、デフォルトのログインURL(wp-login.php)への接触を試行。
SiteGuard WP PluginによるURL変更設定が正常に機能しており、本体へのアクセスは404で即座に遮断されている。
ステータス200は404エラーページに伴う静的ファイルの読み込み、あるいは攻撃ボットによる機械的なアセット確認によるものであり、
実際のログイン画面(隠蔽先)の特定には至っていない。不自然なリファラを伴う標的型の偵察行為と判断し、ブラックリストへ登録。⚠️ Mar 24, 2026 | Ban Issued: 54.211.246.250 (Single IP)
--- Incident Log: 2026-03-24 ---
Target IP: 54.211.246.250
Status: 301, 404 (計16回)
WHOIS Info:
Org: Amazon Technologies Inc. (AWS)
Country: US
Abuse Contact: trustandsafety@support.aws.com
Type: Data Center / Infrastructure
Comment: 複数の管理環境に対し、WordPressプラグイン(MasterStudy LMS, WP Directory Kit, ProfilePress等)
の脆弱性や存在を確認するスキャン行為を検出。特定ディレクトリの readme.md や changelog.txt を執拗に狙っており、
攻撃前の偵察フェーズと推測される。⚠️ Mar 23, 2026 | Ban Issued: 138.199.21.210 and 2 others
--- Incident Log: 2026-03-23 ---
Target IP: 138.199.21.210
Status: 200 (Prior to block) / 403 (After block)
WHOIS Info: RIPE Network Coordination Centre (NL), abuse@ripe.net, Transferred to RIPE NCC
Comment: 複数の管理環境に対し xmlrpc.php を標的としたPOSTリクエストを断続的に送信。今回の .htaccess
修正により、攻撃リクエストをアプリケーションに到達させる前にApacheレベルで遮断することに成功した。
Target IP: 3.37.45.150
Status: 403
WHOIS Info: Amazon Technologies Inc. (US), trustandsafety@support.aws.com, Direct Allocation
Comment: AWSインフラ発の執拗な偵察ボット。.env や /proc/self/environ など、
環境変数や機密ファイルを階層ごとにスキャン。マスターブラックリストへの追加により、
今後の全方位的なアクセスを恒久的に拒絶。
Target IP: 45.148.10.244
Status: 403
WHOIS Info: RIPE Network Coordination Centre (NL), abuse@ripe.net, Early Registrations
Comment: インフラ構成ファイル(Terraform/Stripe設定)をピンポイントで狙う高度な標的型スキャナー。
今回のCIDR統合および個別IPブロックにより、当該レンジからの脅威を無力化した。⚠️ Mar 22, 2026 | Ban Issued: 185.177.72.49 (Single IP)
--- Incident Log: 2026-03-22 ---
Target IP: 185.177.72.49
Status: BLOCKED (blacklist_20260322.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: FBW NETWORKS SAS
Country: FR (France / Vélizy Villacoublay)
Abuse Contact: abuse-c: ACRO59630-RIPE
Type: Allocated PA (LIR)
Technical Analysis:
環境設定ファイル(.env)やバックアップファイル(wp-config.php.bak)を狙った、典型的なディレクトリ・トラバーサル
および機密情報奪取のスキャン。curl/8.7.1 を使用し、短時間に 1,300 回を超える膨大なリクエストを機械的に送出。
特定のパス構造を辞書的に舐めることで、管理者の「うっかりミス」を執念深く探る挙動です。
Infrastructure Impact:
総リクエスト数 1,308 回。403 Forbidden での拒絶が支配的ですが、これほど大量の不正リクエストはアクセスログの
肥大化を招き、解析のノイズとなるため、IPレベルでの遮断が最適解です。⚠️ Mar 22, 2026 | Ban Issued: 43.199.240.174 (Single IP)
--- Incident Log: 2026-03-22 ---
Target IP: 43.199.240.174
Status: BLOCKED (blacklist_20260322.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Amazon.com, Inc. (AMAZON-AS-AP)
Country: US (Managed via APNIC/Singapore)
Abuse Contact: abuse@amazonaws.com
Type: Data Center / Cloud Infrastructure (AWS)
Technical Analysis:
ThinkPHP等のフレームワークに存在する脆弱性を標的とした、リモートコード実行(RCE)の試行を確認。
?s=index/think\app/invokefunction や file_put_contents を用いて、サーバー上にバックドア
(hmseo.php, 12345.php)を強引に設置しようとする極めて攻撃的なパケットです。
User-Agentを MSIE 9.0 に偽装しつつ、脆弱なエンドポイントをピンポイントで突く挙動を示しています。
Infrastructure Impact:
総リクエスト数 33 回。リクエストの多くは 301/404 で処理されていますが、一部で 200 OK(動的コンテンツへのアクセス)
が発生しており、アプリケーションレイヤーでの負荷および侵入試行の痕跡として警戒が必要です。
PCfan
静寂を破る「毒」の埋設試行:AWS経由のRCE攻撃を完全遮断
サーバー監視中に検知したAWS経由のリモートコード実行(RCE)攻撃の記録。ThinkPHPの脆弱性を突き、バックドアを設置しようとする悪質な侵入試行に対し、.htaccessを用い…
⚠️ Mar 21, 2026 | Ban Issued: 20.200.222.0 (Single IP)
--- Incident Log: 2026-03-21 ---
Target IP: 20.200.222.0
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (United States / Redmond, WA)
Abuse Contact: abuse@microsoft.com
Type: Data Center / Cloud Infrastructure (Azure)
Technical Analysis:
特定のプラグインやテーマに内在する既知の脆弱性を狙った、辞書攻撃的なスキャンを確認。/wp-
content/plugins/plugin/index.php や /wp-content/themes/admin.php など、
ディレクトリ構造を推測しながら執拗にアクセスを試みています。User-Agent を固定(Chrome 120系)したまま、
機械的にパスを切り替える古典的なボットの挙動です。
Infrastructure Impact:
総リクエスト数 57 回。301 Redirect や 404 を発生させ、不要なリダイレクト処理による
サーバーリソースの微増を招いています。
備考(管理者見解):
「数打てば当たる」という思考停止した攻撃は、論理的なPOSIXの世界においてはただの「ゴミ」に過ぎません。
これらをブラックリストという規約(Rules)で処理することは、管理者の義務であり、システムへの敬意の表れでもあります。⚠️ Mar 21, 2026 | Ban Issued: 20.198.83.136 (Single IP)
--- Incident Log: 2026-03-21 ---
Target IP: 20.198.83.136
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (United States / Redmond, WA)
Abuse Contact: abuse@microsoft.com
Type: Data Center / Cloud Infrastructure (Azure)
Technical Analysis:
Azureからの広域なバックドア探索スキャンを確認。/wp-admin/css/bolt.php や ms-edit.php、xmr.php など、
一般的なWordPressには存在しない「Webシェル(不正操作用スクリプト)」のデフォルト名を網羅的に叩いています。これは、
過去に他の攻撃者が開けた「穴」を再利用しようとする、ハイエナのような偵察行動です。
Infrastructure Impact:
総リクエスト数 124 回。404 Not Found を量産し、アプリケーションログのノイズを増大させています。
複数の管理環境に対して一斉に試行されており、攻撃の自動化レベルは非常に高いと判断されます。
備考(管理者見解):
他者が残した「負の遺産」を探し回るその卑俗なアクセスは、規約に基づいた健全な通信とは無縁のものです。
UNIXユーザーが愛する「シンプルでクリーンな環境」を維持するためには、
こうしたノイズを物理層に近い段階で排除し続ける必要があります。⚠️ Mar 21, 2026 | Ban Issued: 54.64.46.14 (Single IP)
--- Incident Log: 2026-03-21 ---
Target IP: 54.64.46.145
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Amazon Technologies Inc. (AT-88-Z)
Country: US (United States / Seattle, WA)
Abuse Contact: trustandsafety@support.aws.com
Type: Data Center / Cloud Infrastructure (AWS)
Technical Analysis:
AWSインフラを足場とした、極めて攻撃性の高い資格情報窃取スキャンを確認。.env、.env.local、.git/config
といった環境変数やリポジトリ設定ファイルに加え、wp-config-stripe.php
などの決済関連設定ファイルをピンポイントで狙っています。これは単純な脆弱性調査ではなく、
認証キーやDBパスワードの直接奪取を目的とした「窃盗」のフェーズにある攻撃です。
Infrastructure Impact:
総リクエスト数 559 回。403 Forbidden が大半を占めますが、一部で 200 OK(トップページ等)
を混ぜることで監視の目を逸らそうとする挙動が見られます。放置すれば、
機密情報の露出による致命的なセキュリティインシデントに直結するリスクがあります。
備考(管理者見解):
「道具」としてのクラウドが、ここでは「鍵開けの道具」として悪用されています。POSIXが教える「すべてはファイルである」
という哲学を逆手に取り、システムの心臓部である設定ファイルを狙うその振る舞いは、自由なネットワークへの冒涜です。
境界線での即時遮断こそが唯一の論理的回答です。⚠️ Mar 20, 2026 | Ban Issued: 163.192.101.17 (Single IP)
--- Incident Log: 2026-03-20 ---
Target IP: 163.192.101.17
Status: PERMANENTLY BLOCKED
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Oracle Corporation (ORACLE-4)
Country: US (United States / Austin, TX)
Abuse Contact: abuse@oracleemaildelivery.com
Type: Data Center / Cloud Infrastructure
NetRange: 163.192.0.0/16
Technical Analysis:
Oracle Cloud Infrastructure (OCI) からの執拗なブルートフォース攻撃を確認。短時間に wp-login.
php (POST) と wp-admin/index.php (GET) を交互に叩く挙動に加え、User-Agent を Windows/Mac/Linux
間で頻繁に変更し、あたかも複数のブラウザからアクセスしているかのように装っています。また、?author=n
によるユーザー名列挙も並行して実施されており、侵入を目的とした高度な自動化ツールが稼働していると判断されます。
Infrastructure Impact:
総リクエスト数は 858 回。すべて 403 で遮断されていますが、クラウドインフラを背景にした潤沢なリソースによる
攻撃は、放置すればアプリケーション層への負荷増大やログの肥大化を招き、
管理環境全体の監視コストおよび可用性に悪影響を及ぼすリスクがあります。
備考(管理者見解):
クラウドインフラという「強力な道具」を悪用した匿名性の高い攻撃です。POSIXが規定する論理的かつ規約
(Protocol)を遵守した通信とは対極にある「欺瞞」に満ちたアクセスであり、これを境界線で冷徹に遮断することは、
システムの整合性と自由を守るために不可欠な論理的帰結です。⚠️ Mar 19, 2026 | Ban Issued: 20.78.129.228 (Single IP)
--- Incident Log: 2026-03-19 ---
Target: 20.78.129.228
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: United States (US)
Abuse Contact: abuse@microsoft.com
Type: Data Center / Cloud (Azure)
Technical Analysis:
短時間(13:14:41前後)に集中した、WordPressの管理画面およびシステム深部への脆弱性スキャン。
wp-admin/ 配下へのアクセス試行に加え、ws.php や 0x.php といった、バックドア設置の有無を確認する
自動化ボットによる執拗な「ドアのノブ回し」を記録。
Infrastructure Impact:
41回のリクエストすべてが 403 Forbidden で適切に処理されているが、バックドアや設定ファイルを狙った
攻撃パターンの網羅性は、明確な悪意を持って脆弱性を探索していることを示している。
備考(管理者見解):
クラウドインフラを隠れ蓑にした機械的な脆弱性探索だ。正規のユーザーが /wp-admin/css/colors/coffee/
などを単発で叩く理由は皆無であり、システムの安全性を担保するため、論理的帰結として即座に「出入り禁止」の措置を執った。⚠️ Mar 18, 2026 | Ban Issued: 141.148.168.147 (Single IP)
--- Incident Log: 2026-03-18 ---
Target: 141.148.168.147
Context: Oracle Corporation (US), abuse@oracle.com, Data Center
Status: PERMANENTLY BLOCKED
Technical Analysis:
HTTP POSTメソッドを用いた /wp-login.php への集中的なブルートフォース攻撃。短時間で858回のリクエストを記録し、
認証突破を目的とした自動化スクリプトによる執拗な試行を確認。
Infrastructure Impact:
認証プロセスの継続的な占有によるPHP-FPM子プロセスの枯渇、およびWebサーバーログの急激な肥大化。
可用性に対する直接的な脅威と判断し、即座に「出入り禁止」の措置を執った。
備考(管理者見解):
単一ノードによる異常なリクエスト頻度は、正当なトラフィックの枠を逸脱している。システムの整合性を維持するため、
論理的根拠に基づき恒久的に遮断した。
PCfan
2026年3月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
2026-03に検知された複数の管理環境に対する不正通信の技術的記録。Oracle Cloudからの執拗なブルートフォース攻撃、Azureインフラによる網羅的な脆弱性スキャン、およびVP…
⚠️ Mar 17, 2026 | Added Analysis: 45.91.23.0/24 Subnet Block
--- Incident Log: 2026-03-17 ---
Target IP: 45.91.23.0/24 (Subnet block)
Status: PERMANENTLY BLOCKED WHOIS Info:
- Org: MivoCloud Ltd (Chisinau, Moldova)
- Country: MD (Moldova)
- Abuse Contact: abuse@mivocloud.com
- Type: Hosting / Infrastructure Service
Comment:
Highly distributed and automated WordPress vulnerability reconnaissance.
Over 16 distinct IP addresses from this single C-class subnet synchronized
their attacks across multiple managed environments.
The pattern shows an "Aggressive Crawling" phase targeting deprecated
PHP files and core directory structures.
備考:
モルドバのホスティングサービス「MivoCloud」のセグメント。単一のIPによる攻撃ではなく、
同一サブネット内の16以上のノードが連携して複数の管理サイトを同時スキャンしている。
完全に自動化された「面」での攻撃と判断し、当該サブネット全体をブラックリストへ追加。
PCfan
Signal to Noise Ratio|静寂を乱す「招かれざる客」と「/24」の防衛術
サーバーログに現れた組織的なスキャン。個別のIPを追うのではなく、なぜ「/24」という面で守るのか?POSIXの哲学やCIDRの仕組みを、中学生でもわかる比喩を用いて解説しま…
⚠️ Mar 16, 2026 | Ban Issued: 188.212.135.0/24 Subnet Block
# --- Incident Log: 2026-03-16 ---
Target IP: 188.212.135.0/24 (Subnet block)
Status: PERMANENTLY BLOCKED
WHOIS Info:
- Org: VPN Consumer (Warsaw, Poland)
- Country: PL (Poland)
- Abuse Contact: Panama (Republica de Panama)
- Type: VPN / Proxy Service
Comment:
Persistent vulnerability scanning via VPN exit nodes located in Warsaw.
The use of privacy-focused infrastructure (Panama-based legal entity)
indicates intentional concealment of the attack source.
All traffic from this subnet is now rejected.
備考:
ポーランド・ワルシャワに拠点を置くVPNサービスの出口ノード群。
パナマに法的な窓口を置くなど、匿名性の高いインフラを悪用した執拗なスキャン。
攻撃元の隠蔽を意図していると判断し、当該サブネットを全面的に遮断。
PCfan
Signal to Noise Ratio|静寂を乱す「招かれざる客」と「/24」の防衛術
サーバーログに現れた組織的なスキャン。個別のIPを追うのではなく、なぜ「/24」という面で守るのか?POSIXの哲学やCIDRの仕組みを、中学生でもわかる比喩を用いて解説しま…
【初心者でも安心】ターミナルでIPアドレスを秒速確認!Mac・Linux対応ガイド
あわせて読みたい
【初心者でも安心】ターミナルでIPアドレスを秒速確認!Mac・Linux対応ガイド|UNIX Cafe
UNIX Cafe | 第35回 IPアドレスってどんなもの?(やさしい解説) 「IPアドレスって、なんだか難しそう…」「黒い画面(ターミナル)でコマンドを打つなんて、自分には無...
サブネットマスクの基本をやさしく解説|仕組みと計算方法がわかる入門編
あわせて読みたい
サブネットマスクの基本をやさしく解説|仕組みと計算方法がわかる入門編|UNIX Cafe
UNIX Cafe | 第36回 はじめに|IPアドレスの相棒、「サブネットマスク」って一体何? カフェの窓から、やわらかな午後の光が差し込んでいました。ミナちゃんがターミナ...
UNIX Cafe フロア案内(ハブページ)