[EC-CUBE] 4.0.3 新規インストール(レンタルサーバのコントロールパネルからのクイックインストール）→アップデータを使用して4.0.6
[レンタルサーバ] さくらインターネット
[OS] Windows10
[PHP] PHP 7.3.29
[データベース] MySQL 5.7
[WEBサーバ] Apache/2.4.48
[ブラウザ] Firefox 102.4.0esr
[導入プラグインの有無] あり（決済ほか）
[カスタマイズの有無] なし
[現象]
お世話になります。
今朝、GMOペイメントより、大量トランザクション検知のご連絡というメールが来ました。

>【ご確認/ご対応いただきたい事項】として、
> 1.アクセス制限
> 上記取引に該当するIPアドレスを貴社にて特定し、アクセス制限を実施ください。
> 2.取引状況のご確認
> 上記取引で実行された注文がある場合、チャージバック（第三者のカード不正利用を利用とする売上取消）となる可能性が高いため、取引の取消、商品発送中止等ご対応ください。
> 3.該当会員IDの削除

このような記載がありました。
まずは、EC-CUBEの管理画面からログを見たらいいのかな？と、システム設定のログ表示から、よくわからずに何も触らずに「読み込む」ボタンを押したところ、「システムエラーが発生しました。」「Fatal error: Allowed memory size of 536870912 bytes exhausted (tried to allocate 1162648744 bytes) in /home/ドメイン/www/ec202001/src/Eccube/Controller/Admin/Setting/System/LogController.php on line 92」と出ました。
（line 92は、
foreach (array_reverse(file($logFile, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES)) as $line) {
// 上限に達した場合、処理を抜ける
とありました）

IPアドレスが特定できたとしても、制限のかけ方もわかりません。
どうしたら良いのかわからなくなって、困っています。
EC-CUBEの受注一覧の画面からは、実害はないように見えます。
EC-CUBEは2から触らせていただいておりますが、SEやPG職でないため、専門的なことになってくると全くわかりません。
どなた様か、お力を貸していただけましたら嬉しいです。
何とぞ、よろしくお願いいたします！

GMOペイメントのサポートに電話をしたほうが良いのかもわかりませんが、本日は土曜日なので…涙

IPアドレスにてアクセスを制御したい場合は、
下記のサイトに記載されている方法などで、
拒否IPアドレスを設定するなどを行うと良いと思います。

https://engineer-ninaritai.com/apache-ip-restrict/

> IPアドレスが特定できたとしても、制限のかけ方もわかりません。
> どうしたら良いのかわからなくなって、困っています。
> EC-CUBEの受注一覧の画面からは、実害はないように見えます。
> EC-CUBEは2から触らせていただいておりますが、SEやPG職でないため、専門的なことになってくると全くわかりません。
> どなた様か、お力を貸していただけましたら嬉しいです。
> 何とぞ、よろしくお願いいたします！

専門的な事が解らないとも事なので、まずは「GMOペイメント」ではなく「サーバ管理者」か「さくらインターネット」に相談する事をお勧め致します。
それでも、「サーバ管理者」が居ない場合や「さくらインターネット」に相談しても解決しない場合は、有償になりますが当方の様なEC-CUBEインテグレートパートナーにご相談してみてください。

mcontactさま

早々にコメントくださり、ありがとうございました。
教えていただきましたリンク先を見てみましたが、難しくて…
それ以前に、悪さをしているIPアドレスの発見もできていません。

元々の投稿に記載しました以下ですが、

> まずは、EC-CUBEの管理画面からログを見たらいいのかな？と、システム設定のログ表示から、よくわからずに何も触らずに「読み込む」ボタンを押したところ、「システムエラーが発生しました。」「Fatal error: Allowed memory size of 536870912 bytes exhausted (tried to allocate 1162648744 bytes) in /home/ドメイン/www/ec202001/src/Eccube/Controller/Admin/Setting/System/LogController.php on line 92」と出ました。
>（line 92は、
foreach (array_reverse(file($logFile, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES)) as $line) {
// 上限に達した場合、処理を抜ける
> とありました）

悪さをしているIPアドレスを発見するには、上記の、管理画面のシステム設定→ログ表示からで良いのでしょうか？
また、どのログを見たら良いのでしょうか？
ログが大きすぎて、管理画面から見ることができない様子？でしょうか、どのようにしたら見ることができるようになるのでしょうか？
または、FTPなどでDLできるものでしょうか？

わからないことだらけでお恥ずかしい限りです。
さくらインターネットに問い合わせるにしても、週末の間に対応はなさそうですので、わたしにできることをやれたら…と思っています。

お力を貸していただけませんでしょうか？
何とぞよろしくお願いいたします。

> 悪さをしているIPアドレスを発見するには、上記の、管理画面のシステム設定→ログ表示からで良いのでしょうか？

詳しいIPアドレスが書かれたログですが、
var/log/prod/site-yyyy-mm-dd.log に下記の様に記載されています。

●例（IPアドレスが172.16.24.1の場合）


または、WebサーバがApacheの場合は
/var/log/httpd/access_logや/var/log/httpd/ssl_access_logなどにアクセスログとしてIPアドレスやアクセス先が記載されていると思います。

mcontactさま

ご返信感謝いたします。

> 詳しいIPアドレスが書かれたログですが、
> var/log/prod/site-yyyy-mm-dd.log に下記の様に記載されています。

確認しましたところ、var/log/prod/ には
admin-yyyy-mm-dd.log（最新は今日の日付） と
front-yyyy-mm-dd.log（最新は10/17）しかございませんでした。
site～というlogがないのは、おかしいのでしょうか？

> または、WebサーバがApacheの場合は
> /var/log/httpd/access_logや/var/log/httpd/ssl_access_logなどにアクセスログとしてIPアドレスやアクセス先が記載されていると思います。

/var/log の中には、installというフォルダとprodというフォルダしかございませんでした。

教えて教えて！で本当に申し訳ないのですが、何とぞよろしくお願いいたします。

> > 詳しいIPアドレスが書かれたログですが、
> > var/log/prod/site-yyyy-mm-dd.log に下記の様に記載されています。

> 確認しましたところ、var/log/prod/ には
> admin-yyyy-mm-dd.log（最新は今日の日付） と
> front-yyyy-mm-dd.log（最新は10/17）しかございませんでした。
> site～というlogがないのは、おかしいのでしょうか？

EC-CUBE初期インストール状態であれば、一般的には「var/log/prod/site-yyyy-mm-dd.log」も保存されると思います。
とりあえず、「front-yyyy-mm-dd.log」はフロント画面を表示した時のログなのでそちらのログにもIPアドレスは記載されているはずです。

> > または、WebサーバがApacheの場合は
> > /var/log/httpd/access_logや/var/log/httpd/ssl_access_logなどにアクセスログとしてIPアドレスやアクセス先が記載されていると思います。

> /var/log の中には、installというフォルダとprodというフォルダしかございませんでした。

サーバ側のアクセスログになりますので、EC-CUBEフォルダの中にはありません。

さくらインターネットにて検索しましたが、下記を参考にしてください。
https://help.sakura.ad.jp/rs/2228/?article_anchor=js-nav-2


そして、アクセスログからIPアドレスについてだけ焦点が当たっているコメントが続いていますが、

> 2.取引状況のご確認
> 上記取引で実行された注文がある場合、チャージバック（第三者のカード不正利用を利用とする売上取消）となる可能性が高いため、取引の取消、商品発送中止等ご対応ください。
> 3.該当会員IDの削除

は、調べられる・対応できると思いますので、いつから発生していたかは解りませんが対応を急いだほうが良いと思いますよ。

mcontactさま

ご返信ありがとうございました！

> とりあえず、「front-yyyy-mm-dd.log」はフロント画面を表示した時のログなのでそちらのログにもIPアドレスは記載されているはずです。

front～というログは、先にも記載しましたが最新の日付が10/17でしたので、今回は役に立たない感じです（今回の大量トランザクションは11/4発生なのです）。

> さくらインターネットにて検索しましたが、下記を参考にしてください。
> https://help.sakura.ad.jp/rs/2228/?article_anchor=js-nav-2

お調べくださりありがとうございました、ログを保存できるように設定いたしましたので、今後の役に立つかと思われます！

> > 2.取引状況のご確認
> > 上記取引で実行された注文がある場合、チャージバック（第三者のカード不正利用を利用とする売上取消）となる可能性が高いため、取引の取消、商品発送中止等ご対応ください。
> > 3.該当会員IDの削除
>
> は、調べられる・対応できると思いますので、いつから発生していたかは解りませんが対応を急いだほうが良いと思いますよ。

取引が成立した事例は今回はなかったので（セキュリティコードの入力でひっかかって、大量のトランザクション全てが未決済で終わっています）、実害はなかったです。
気にかけてくださり、ありがとうございました！

悪さの張本人のIPアドレスはまだ掴めていないので、現在はEC-CUBEの支払方法からカード決済をお休みさせている状況です。
その設定をして以降は、アタックは止まっています（設定を戻すとまたアタックが始まります…）。

明日は月曜日ですので、GMOやさくらインターネットに問い合わせをしてみようと思っていますが…
またこちらで報告させていただきます。
ありがとうございますm(__)m

mcontactさま

その後のことをお伝えしなくては思いながら、少し時間が空いてしまいました、申し訳ございませんでした

mcontactさま

その後のことをお伝えしなくては思いながら、少し時間が空いてしまいました、申し訳ございませんでした(^-^;

結論から申し上げますと、その後大量トランザクションはなくなり、平和が戻っております！
教えていただきましたApacheでIPアドレスによる制限ですが、Apacheから勉強をスタートするのは時間がかかりすぎると思いましたので、.htaccessでの制限を行ったところ、攻撃がピタッと止まりました。
その後に、GMOペイメントの勧めでreCAPTCHAのプラグインを導入し、現在に至っております。

この度は大変お世話になり、ありがとうございました！
心より感謝しております。

…しかしまだ問題は残っておりまして…

脆弱性の事もありますので、プラグインを使用して4.0.3→4.0.4へと進み、4.0.5アップデートをしようとしたところ、
以下の方と同様の事態になりました。

https://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&order=ASC&topic_id=25923&forum=16

こちらのやり取りの中に記載されている解決方法を試してみたいのですが、またまたわたしには難しい事がたくさん出てくるので…
プロの方にお願いすることも考えております(^-^;::