- ベストアンサー
サーバのログについて
D-MAKERの回答
こんばんは。 今日はちっと疲れているので短めにします。 selenityさんの回答にもありますが、ここは私の言葉で説明しますね。 簡単に言うとNATとパケットフィルタリングは全然違います。 まず、NATとはグローバルIPアドレスとローカルIPアドレスを1対1で変換する機能のことをいいます。 パケットフィルタリングとは、特定のポートに対して通す通さないの設定をすることいいます。 わかりましたか?SIMさんはNATを誤解していたみたいですね。 さて、SIMさんはポートスキャンをして必要なサービス以外のポートは全て閉じられていることを確認しました。 じゃあ、なぜパケットフィルタリングしなきゃいけないのかというと、selenityさんが書いていたトロイの木馬っていうタイプのウィルスがあるからなんです。 このタイプのウィルスは、自分でサービスを提供してポートを空けるんです。管理者がわからないようにメールやマクロなどに仕込んでおいてドカンとやっちゃうんです。 だから外から中に入ってくるパケットや中から外に向かってでていくパケットを制御するんです。 パケットっていう言葉がわかりにくければ、サーバが提供するサービスがやり取りしている情報と思ったほうがわかりやすですかね? 最後の感想についてですが・・・何ともいえませんね。 サーバ立てる人がちゃんと勉強してくれるといいのですが、こういうことをコンサルティングとして仕事をしている人もいるわけですから(笑)。 私の希望としては、インターネットを利用する人たちが増えている中、困っている人も多いわけで、勉強した人は困っている人を助けてあげてくれたらいいなぁと思うわけです。
関連するQ&A
- apacheのログからNIMDA、CODEREDの見分け方
apacheのログから、Nimda,CodeRed,Codered(2)のそれぞれの 攻撃を受けたかを判別する方法はあるのでしょうか? root.exe,cmd.exe,default.idar,Admin.dll等は、nimdaでも CodeRedでもありえるのでしょうか?
- ベストアンサー
- ネットワーク
- Webサーバのログで・・・
8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。
- ベストアンサー
- ウィルス・マルウェア
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- パーソナルファイヤーウォールのログ
トレンドマイクロの「ウィルスバスター2001」を使っています。 8月に「CodeRed」、9月に「Nimda」に感染しました。 それで恐くて、最近はずっと毎日ウィルススキャンしているのですが、ふとログを見るとパーソナルファイヤーウォールのログに不正アクセスとして記録されたIPアドレスがあることに気づきました。 そのIPアドレスはいつも同じではないし、規則性がありません。 これはどういうことなのでしょうか。 また、この場合どのような手段をとるべきなのでしょうか? わかる方がおられましたら、教えてください。お願いします。 今使っているOSはWindows95です。 ウィルス感染時にはWindows2000サーバーの入ったパソコンを使っていたのですが、二度のウィルス感染とその対策にかかるコストから個人で使うには手に余るので、HDDごと交換してOSをクライアント向けのものに変更しようと思っています。
- ベストアンサー
- ネットワーク
- 自宅サーバーのログ
自宅サーバーを勉強中のものです。 無事に外部からも接続できることを確かめたのですが、 家に帰りアクセスログを見ると何故か404があります。 (私が外部からアクセスしたものではありません) しかも、エラーログをみると、 c,d,MSADC,scriptsなどにアクセスされているみたいです。 上記のようなフォルダーもファイルもないので エラーになって当たり前なのですが、 時間をおいてなんどもアクセスされています。 http://www.arearesearch.co.jp/ip-kensaku.html でIPアドレスを検索したら IPアドレス割り当て国が中国となっていました。 これは自宅サーバーをたてた時からありました。 まだ、ドメインをとっていないのでIPアドレスを 直接入力しなくてはならないのに 何故このようなアクセスがあるのでしょうか?? ちなみにちがうサイトでIPアドレスを検索してみると Asia Pacific Network Information Centre とでてきました。 いったいなんなんでしょうか?
- ベストアンサー
- その他(OS)
- winnt/system32/cmd.exe?/c+dir+C:\
ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\
- ベストアンサー
- ネットワーク
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- 他のサーバードライブをntbackupでバックアップ
サーバーを追加してデータファイルを全てそのサーバーに移したのですが、 予算が無くバックアップは既存のサーバー機で行うことになりました。 既存のbackup.cmdを下記のように編集して新サーバーの共有ドライブ(フォルダー) を指定したのですが、上手く行きません。 手動で行うと問題なくバックアップできるのですが、自動にするとバックアップが取れません。 logを見るとアクセス権が無いと出てきます。 アクセス権の取得法またはそれに代わる解決策があればお教え願いたいのですが 宜しくお願いします。 新サーバーのフォルダーは共有ドライブ(M)として設定済みです。 既存サーバー OS=WindowsNT4.0 SP5 追加サーバー OS=Windows2000 テープドライブは既存のサーバーに内蔵されています。 backup.cmd オリジナルの内容 ntbackup backup c: d: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF backup.cmd 変更後の内容 2行目の指定ドライブを新サーバーのフォルダーを指定 ntbackup backup m: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF ATコマンド用バッチファイル SBackup.batの内容 rem ************************************************************* AT 23:00 /interactive /every:m,t,w,th,f,s,su c:\winnt\backup.cmd ----- SBackup.bat EOF 既存の設定はサーバー導入時に納入業者の方に全て任せて行いました。 今はその会社と取引が無いので問い合わせも出来ないのでここにお願いするしだいです。 現在は毎朝手動でbackup.cmdを起動して行っています。
- ベストアンサー
- Windows NT・2000
- http://www.worm.com/って何ですか
NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
- ベストアンサー
- ネットワーク
お礼
どうも毎回親切なアドバイスありがとうございます。 あの感想は昼休みに慌てて書いてしまったものでちょっと誤解されるような文になってしまいました。 私が言いたかったのは、私のように生半可な知識でサーバを立てるのは危険だと自分の愚かさに対する感想のつもりでした。 D-MAKERさんの言われる >勉強した人は困っている人を助けてあげてくれたらいいなぁ はとても素敵な考え方だと思います。インターネットのイメージは1部の心ない人たちによってあまりいいものとは言えないのが現状だと思いますが、映画のペイフォワードじゃないですけど人々の善意が広がっていくような善意の場になってくれたらいいなと思います。 それからNATについてはとてもよくわかりました。 丁寧に解説して頂きありがとうございました。 私もちゃんと勉強して誰かを助けてあげられるようになりたいです。(D-MAKERさんみたいに) 本当にいろいろとありがとうございました。 また質問するかもしれませんがそのときは宜しくお願いします。