- ベストアンサー
サーバのログについて
D-MAKERの回答
- D-MAKER
- ベストアンサー率50% (15/30)
こんばんは。 自分のわかる範囲でお答えさせていただきます。 >/default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a はCodeRedによるアタックだと思われます。 参考URLに関連記事を載せておきますね。 一読されることをお勧めします。 (ちなみにこのアットマーク・アイティのサイトは結構役に立つ情報が載っています。これからの参考にもなるのでマイクロソフトのサポートオンラインとあわせてご覧になることをお勧めします。) 対処の方法は http://www.asia.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k に書いてあります。こちらも参考にしてください。 >/c/winnt(中略)/cmd.exe /c+dir もアタックです。 数が多くないようなので、パッチ等でカバーすれば当面は大丈夫だと思います。 各種パッチが当てられているようですが、足りないパッチがありましたら、上記URLや参考URLを参考にして追加してくださいね。 それから、文面からは判断できなかったのですが、IISの設定で、c:\Inetpub\wwwrootの設定を変更してありますか? クラッカーは大抵、OSのデフォルトをついてきます。 デフォルトのページはc:\Inetpub\wwwrootではなく、違うドライブに変更しておきましょう。できれば、OSも違うドライブにインストールするとなおOKなのですが、OSの再インストールは厳しいものがあるので、IISの設定ぐらいは変えておきましょう。 勉強目的と書いてあったので、これは必要に応じてなのですが、できればファイアウォールかプロキシー・サーバを立てておいたほうが気休めになります。 それから不要なサービスもわかる範囲内で停止したほうがいいです。 前者は、使用していないポートからのアクセスをカットできます。後者は、万が一、アタックされても被害を少なくすることができます。 >ちなみに攻撃してくるIPは自分と似たIPが多いです。 これは、同じプロバイダーの人か、同じアクセスポイントからアクセスした人の可能性が高いです。 (断言はできません。あくまで可能性の話です。) ダイアルアップで攻撃されると、個人レベルでは対処できません。(ダイアルアップするたびにIPアドレスが変わるので、ユーザを特定できないのです。) プロバイダーからだと、誰が、いつ、どの電話番号からかけてきて、どのIPアドレスを取得したか、ログを見ればわかりますが、個人にはプライバシーの問題上公開されません。 あまり回答にはなっていませんが、サーバを立てる場合は、ある程度、自衛に心がけましょう。被害をこうむるのが自分だけなら問題ないのですが、踏み台にされると大変なことになります。知らない間に加害者にされます。 最後はちょっと脅かしが入ってしまいましたが、自衛の意識と、SIMさんの努力があれば(ログチェックしているみたいだし)大丈夫だと思いますよ。 あと何か不明な点がありましたら、補足で書いてください。またお答えしたいと思います。 勉強がんばってくださいね。
関連するQ&A
- apacheのログからNIMDA、CODEREDの見分け方
apacheのログから、Nimda,CodeRed,Codered(2)のそれぞれの 攻撃を受けたかを判別する方法はあるのでしょうか? root.exe,cmd.exe,default.idar,Admin.dll等は、nimdaでも CodeRedでもありえるのでしょうか?
- ベストアンサー
- ネットワーク
- Webサーバのログで・・・
8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。
- ベストアンサー
- ウィルス・マルウェア
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- パーソナルファイヤーウォールのログ
トレンドマイクロの「ウィルスバスター2001」を使っています。 8月に「CodeRed」、9月に「Nimda」に感染しました。 それで恐くて、最近はずっと毎日ウィルススキャンしているのですが、ふとログを見るとパーソナルファイヤーウォールのログに不正アクセスとして記録されたIPアドレスがあることに気づきました。 そのIPアドレスはいつも同じではないし、規則性がありません。 これはどういうことなのでしょうか。 また、この場合どのような手段をとるべきなのでしょうか? わかる方がおられましたら、教えてください。お願いします。 今使っているOSはWindows95です。 ウィルス感染時にはWindows2000サーバーの入ったパソコンを使っていたのですが、二度のウィルス感染とその対策にかかるコストから個人で使うには手に余るので、HDDごと交換してOSをクライアント向けのものに変更しようと思っています。
- ベストアンサー
- ネットワーク
- 自宅サーバーのログ
自宅サーバーを勉強中のものです。 無事に外部からも接続できることを確かめたのですが、 家に帰りアクセスログを見ると何故か404があります。 (私が外部からアクセスしたものではありません) しかも、エラーログをみると、 c,d,MSADC,scriptsなどにアクセスされているみたいです。 上記のようなフォルダーもファイルもないので エラーになって当たり前なのですが、 時間をおいてなんどもアクセスされています。 http://www.arearesearch.co.jp/ip-kensaku.html でIPアドレスを検索したら IPアドレス割り当て国が中国となっていました。 これは自宅サーバーをたてた時からありました。 まだ、ドメインをとっていないのでIPアドレスを 直接入力しなくてはならないのに 何故このようなアクセスがあるのでしょうか?? ちなみにちがうサイトでIPアドレスを検索してみると Asia Pacific Network Information Centre とでてきました。 いったいなんなんでしょうか?
- ベストアンサー
- その他(OS)
- winnt/system32/cmd.exe?/c+dir+C:\
ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\
- ベストアンサー
- ネットワーク
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- 他のサーバードライブをntbackupでバックアップ
サーバーを追加してデータファイルを全てそのサーバーに移したのですが、 予算が無くバックアップは既存のサーバー機で行うことになりました。 既存のbackup.cmdを下記のように編集して新サーバーの共有ドライブ(フォルダー) を指定したのですが、上手く行きません。 手動で行うと問題なくバックアップできるのですが、自動にするとバックアップが取れません。 logを見るとアクセス権が無いと出てきます。 アクセス権の取得法またはそれに代わる解決策があればお教え願いたいのですが 宜しくお願いします。 新サーバーのフォルダーは共有ドライブ(M)として設定済みです。 既存サーバー OS=WindowsNT4.0 SP5 追加サーバー OS=Windows2000 テープドライブは既存のサーバーに内蔵されています。 backup.cmd オリジナルの内容 ntbackup backup c: d: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF backup.cmd 変更後の内容 2行目の指定ドライブを新サーバーのフォルダーを指定 ntbackup backup m: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF ATコマンド用バッチファイル SBackup.batの内容 rem ************************************************************* AT 23:00 /interactive /every:m,t,w,th,f,s,su c:\winnt\backup.cmd ----- SBackup.bat EOF 既存の設定はサーバー導入時に納入業者の方に全て任せて行いました。 今はその会社と取引が無いので問い合わせも出来ないのでここにお願いするしだいです。 現在は毎朝手動でbackup.cmdを起動して行っています。
- ベストアンサー
- Windows NT・2000
- http://www.worm.com/って何ですか
NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
- ベストアンサー
- ネットワーク
補足
丁寧な回答ありがとうございます。 どうやら /c/winnt(中略)/cmd.exe /c+dir ってのはD-MAKERさんの教えてくださったサイトによるとNIMDAっぽい感じですね。アタックが始まった時期とNIMDA発生時期が重なりますし。 >IISの設定で、c:\Inetpub\wwwrootの設定を変更してありますか? とくにセキュリティーを意識したわけではありませんが、なんか邪魔だったので最初にあったページは消してあります (^^; 現在のページのファイルはシステムとは別のHDDに適当なディレクトリを作って置いてあります。これでいいのでしょうか? とても親切なD-MAKERさんに甘えてさらに質問があります。 我が家の環境は3台のPCがありADSLモデムとサーバの間にルータが入ってます。 3台のPCはそれぞれクラスCのIPを静的に割り当て ルータのNATでport20(FTP),21(FTP),25(SMTP),80(HTTP),110(POP),1723(VPN←試験的に)をサーバのアドレスに変換してます。サーバにはZoneAlarmというフリーのファイアウォールソフトを入れてます。 ルータのパケットフィルタリングは使っていません。(なにをフィルタしたらいいかよくわからないから (^^; ) 大体セキュリティー対策はこのぐらいでよろしいでしょうか?不足してる部分を指摘していただけるとありがたいです。 それからWIN2000の不要または危険なサービス、塞ぐべきport、OSデフォルトの設定の変更すべき個所等教えていただけると幸いです。(参考サイト等でも結構です) お願い致します。 個人とはいえサーバを管理するものとして自衛の意識とスキルアップを心がけて行きたいと思います。