- ベストアンサー
Apacheに予期せぬアクセスが
先日、自宅のマシン(OS:Win2k Professional)にApache 1.3.22をインストールしました。 サーバーとしてドメインを取得してる訳でもなく、IPを誰かに教えた訳でもないのですが、 Apacheを起動した状態でネットに繋ぐ(ダイアルアップする)と、外部からアクセスされているようなんです。 下記はその時のアクセスログとエラーログです。 210.**.**.** - - [04/Dec/2001:00:57:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" *** *** [Tue Dec 04 00:57:25 2001] [error] [client 210.**.**.**] File does not exist: c:/program files/apache group/apache/htdocs/scripts/root.exe この他にもcmd.exeを探しているようなものなど複数のアクセスがログに残ってました。 Apacheを起動しているだけで、外部から見付けられてしまう事ってあるのでしょうか? またはウィルスによって情報が流出しているのでしょうか? なぜ外部からアクセスされたのかわかりません。よい対策がありましたら教えて下さい。宜しくお願いします。
- Elvin
- お礼率91% (33/36)
- ウィルス・マルウェア
- 回答数6
- ありがとう数13
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
以下にコメントされている1の事例と考えられます。2ではないと思います。 firewallでも、防げない行動って結構沢山あります。特に新しい セキュリティホールやウイルスの場合は、ソフトの対応が後手に 回る事が多いので、firewall,ウイルスソフトを過信されないように おねがいします。 windows2000なら、基本は、windowsupdateですが、完全を期する為に以下の ツールでセキュリティホールがないかチェックされておくことを薦めます。 http://www.microsoft.com/japan/technet/security/tools/hfnetchk.asp 普通の環境の人なら確実に数個は見つかります。見つかったら、windows のホームページからセキュリティのアップデートを手に入れましょう。 apacheなら設定さえきっちりやれば、比較的アタックに対して安全と 思われます。 そうそう、joyboxさんの言われている侵入ですが、多分IISを狙った nimdaと思いますよ。IISを使ってければアタックされても大丈夫と 思いますが、そういったソフトは、そのソフトがあったからこそ防げた みたいなレポートを表示をしますよね。
その他の回答 (5)
- JOYBOX
- ベストアンサー率52% (75/143)
No.2の続きです。 >ファイアウォールは入れておりません。 >実はウィルスソフトも入ってないという状態です...。 これじゃいつ侵入されるか、侵入されても気がつきませんよ! 私の知人も先月侵入されかかりました、それも2回です。 ノートンインターネットセキュリティーが侵入を遮断してくれましたので、事なきを得ましたが・・・ それから、NetBus トロイの木馬とBackdoor/SubSeven トロイの木馬はウイルスではありません、ウイルスであるトロイの木馬とは違います。 一応ウイルスソフトでも感染チェックは出来ますが、植え込まれた全てのファイルは検出されません。 ノートンインターネットセキュリティー ウイルスバスター マカフィーインターネットセキュリティー この3本のソフトはアンチウイルス+ファイアウオールの統合ソフトです。 早急に導入ですね! 万一、PCにウイルスソフトが入っていないか確認してから購入して下さい。 もし入っていれば、そのメーカーと同じメーカーの製品を購入して下さい。 2社以上のウイルスソフトが入っていると、PCの動作がおかしくなりますので・・・
お礼
そうですね。 早速何らかのソフトをインストールしてみます。 ありがとうございました!
結構、来ますよ。 ランダムなIPアドレスに対してアタックしていますから、 アタックされないようにするのは難しいですから、アタックされても 大丈夫なようにするしかないですね。 基本は、いらない機能はオフにする事。 また、使っている機能、ソフト、OSに関してはアップデートが 出ていないか、セキュリティホールが見つかっていないかを 定期的にチェックすること。 最後に、フリーのfirewallソフトでもかまいませんから、インすトールして、 必要のないサービスには外部からアクセスできないように設定しておくこと。 市販の一般用firewallソフトを使う場合にも、初期設定のままではなく 説明書などを読んで、自分の環境に合ったように設定しておきましょう。
お礼
情報ありがとうございます。 このようなアクセスは結構あるものなのですね...。 これらのアクセスは全てエラーが出ており、とりあえず 重要なファイルは見られてないようですので、 セキュリティを強化してみます。 どうもありがとうございました。
NimdaにしてもSandmindにしてもSolarisとかIISに観戦するもので、Apacheには感染しにくいのではないでしょうか?OSがWindowsということなので方法で感染している可能性はあると思いますが・・・ ちなみに、IPアドレスの210というのに心当たりがありますが、韓国のサーバからいくつかアクセスを受けた記憶があります。英語が得意なのであれば、韓国のNICから検索して、メールを投げてはどうでしょうか? #過去にメールをして、一つは宛先不明で戻って #きましたが・・・ ではでは☆
お礼
ありがとうございます。 皆様の情報によりだいぶ状況が把握出来てきました。 パターンとしては、 1:外部から無作為に検索したIPに対してアタックしている。 2:自分のマシン内にウィルスがいてIP情報等を流出している。 という感じでしょうか? もしパターン1なら自分自身のセキュリティを強化 すればかなりの対応が可能ですね。 パターン2だと困ってしまいますが....。 とりあえずウィルスソフトを早急に導入してみたいと思います。
- JOYBOX
- ベストアンサー率52% (75/143)
ファイアウオールは入れてますか? もし、入っていなければ、相性の問題が存在しますからお使いのウイルスソフトと同じメーカーのファイアウオールを導入して下さい。 以下のページを参照して下さい。 見るためには、会員登録が必要です。 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20011111/1/ ハッカーに侵入された上、NetBus トロイの木馬かBackdoor/SubSeven トロイの木馬を植え込まれた可能性があります。 もし侵入されていたとすれば、専門家でも植え付けられたファイルを完全削除するのは難しいですから、出来ればHDDを初期化して、Winからインストールし直して下さい。
お礼
ファイアウォールは入れておりません。 実はウィルスソフトも入ってないという状態です...。 何らかのウィルスによって自分の情報が流出していると なると嫌ですので、とりあえずウィルスソフトを入れて みようと思います。 どうもありがとうございます。
恐らく、Sadmindというウィルスに感染したマシンがどこかにあって、 そのウィルスに侵入されようとしているのではないでしょうか。 (参考URL) このウィルスは、しらみつぶしに数字を組み合わせて生成したIPアドレスに対して 侵入を試みる性質があるそうです。 たまたまそれに、あなたのマシンが引っかかっただけでしょう。 IISじゃなければ感染はしないと思うのですが、 セキュリティ関連のパッチ等をお忘れなく。
お礼
ありがとうございます。 とりあえず現在 Apache は起動しないようにしました。 URL参考にさせて頂きます。
関連するQ&A
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- アクセス障害でこまってます。
サイトを運用しているのですが、アクセスが集中してしまい、 アクセスができない状態になりました。 アクセス数は"200アクセス/分"でこのような状態になってしまいました。 Apache のエラーログを見る限り、同時リクエスト数がMaxClientsに達したとなっていました。 また、/var/log/message を見ると メモリを使い切ったとエラーがでてきました。 httpd.conf の抜粋 <IfModule prefork.c> StartServers 8 MinSpareServers 5 MaxSpareServers 20 ServerLimit 256 MaxClients 256 MaxRequestsPerChild 4000 </IfModule> この場合、上記設定で変更すべき箇所があれば、教えて下さい。 また、ほかに設定すべきところや、確認すべきところがあれば教えて下さい。 以下のようなログが出力されました。 Apacheのエラーログ [Tue Dec 09 21:21:35 2008] [error] server reached MaxClients setting, consider raising the MaxClients setting /var/log/message Dec 9 21:47:16 www kernel: oom-killer: gfp_mask=0xd0 ... Dec 9 21:53:16 www kernel: Free pages: 16232kB (112kB HighMem) ... Dec 9 21:59:22 www kernel: Free swap: 0kB Dec 9 21:59:22 www kernel: 262064 pages of RAM Dec 9 21:59:22 www kernel: 32688 pages of HIGHMEM Dec 9 21:59:22 www kernel: 3505 reserved pages Dec 9 21:59:22 www kernel: 125465 pages shared Dec 9 21:59:22 www kernel: 481 pages swap cached Dec 9 21:59:22 www kernel: Out of Memory: Killed process 25124 (httpd). サーバースペックが以下になっています。 CPU : Intel(R) Xeon(TM) CPU @ 1.66GHz Memory: 1GB SWAP: 1GB Linux version 2.6.9-78.0.1.ELsmp Apache 2.2.8 (prefork) PHP 5.2.6 何かヒントでもあれば教えて下さい。 お願いします。
- 締切済み
- その他(プログラミング・開発)
- apacheのaccess.logについて
最近自宅にてdebianでwebサーバーを公開し始めました。 サイトは昔の部活仲間や友達内だけの小さなサイトです。 当初からapacheのaccess.logのログをみて、 さまざまな国からアクセスがあったことを知って戦々恐々としています。 自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、 sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。 ポートは80番とsshのみ開けています。telnetは消しました。 cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。 これでだいぶ国外からのアクセスが減ったのですが、 まだこのような良くわからないアクセスがaccess.logに残ります。 これらについて教えてください。 ----------------------------- 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-" 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)" ----------------------------- 1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" ----------------------------- 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" ----------------------------- 189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-" 95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-" 91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-" 93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-" 221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25" ----------------------------- 相手のIPまんまですが 一つ目の「74.7.65.34」のアメリカからのアクセスの "\x80w\x01\x03\x01" 403 278 "-" "-" の「\x80w\x01\x03\x01」はいったいなんですか? 二つ目の台湾からのアクセスについてわかることを教えてください。 あと自分は初心者ではっきりとはわからないのですが、 三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、 わかることを教えてください。 四つ目の5つは古いログであまり対策がとられていなかったころのものですが、 「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、 これらは悪意のあるアクセスですか。わかることを教えてください。
- ベストアンサー
- ネットワーク
- Ubuntu ServerのApache2サーバ
Ubuntu ServerのApache2について Ubuntu ServerのApache2を構築しています。 forbiddon403のエラーがでます。 内部LANからは正しく見れるのですが、 外部から接続するとforbiddon403のエラーなります。 http://centossrv.com/apache.shtmlの中で、 「以下の「Hostname」欄にホスト名(例:centossrv.com)を入力してGoボタンを押下する 」 は正しく表示されます。 何が原因なのでしょうか? エラーlogを見ると、以下がでます。 [Tue Sep 03 23:49:23 2013] [error] [client 126.204.49.41] File does not exist: /var/www/UI, referer: http://yoshio2.mydns.jp/ [Tue Sep 03 23:49:23 2013] [error] [client 126.204.49.41] File does not exist: /var/www/favicon.ico [Tue Sep 03 23:49:23 2013] [error] [client 126.204.49.41] File does not exist: /var/www/favicon.ico [Tue Sep 03 23:49:24 2013] [error] [client 126.204.49.41] File does not exist: /var/www/favicon.ico [Tue Sep 03 23:49:35 2013] [error] [client 126.204.49.41] File does not exist: /var/www/UI, referer: http://yoshio2.mydns.jp/index.html
- ベストアンサー
- Linux系OS
- Apacheのログ出力方法とローテーションについて
Apacheのログ出力方法とローテーションについて教えてください。 apacheとweblogicとJavaを使ってweb開発をしています。 現状、httpd.confでエラーログとアクセスログを出力していて、今度からWebLogicの プラグインログ(WLLogFile)を追加出力しようと考えています。 エラーログとアクセスログのログローテーションは別サーバのUNIXクーロンと作成した プログラムを用いて行なっていますが、今度追加するプラグインログをローテーション するとなるとそのプログラムに修正が入ってしまうため、それを避けるためにApacheの httpd.confのrotatelogsでログローテーションを行いたいと思っています。 色々調べて見てエラーログとアクセスログについてはログローテーションは できたのですが、WLLogfileで出力するログについてはローテーションが行なえません。 rotatelogsではそもそもエラーログとアクセスログ以外はローテーションできないのか、 それとも自分のやり方が間違っているのか分からなくなってきてしまったため、質問 させて頂いてます。 ちなみにプラグインログはhttpd.conf内で以下のように設定しています。 #Weblogic Config <IfModule mod_weblogic.c> WebLogicHost サーバのIPアドレス WebLogPort ポート番号 MachExpressoion *.* Debug ERR WLLogFile "C:/Apache/logs/wlproxy.log" ☆やりたいことのイメージ↓ #WLLogFile "|C:/Apache/bin/rotatelogs C:/Apache/logs/wlproxy.log 86400" </IfModule> 環境は以下です。 Apache/2.2.9(Win32) Windows Server 2003 宜しくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- apacheがたまに起動しない
Windows2003サーバで 月1回以下のような処理をバッチで実行しています(タスクで起動)。 1.apacheのサービスを停止 httpd.exe -k stop -n Apache2 -w 2.apacheのログを退避 MOVE access.log access.log.YYYYMMDD MOVE error.log error.log.YYYYMMDD 3.apacheのサービス起動 httpd.exe -k start -n Apache2 -w 普段は何も問題なく処理されているのですが、 数ヶ月に1回apacheが起動しない時があります。 ポップアップエラーとして、 *********************************************************** szAppName:httpd.exe szAppVer:2.2.40 szModName:msvcrt.dll szModVer:703790.3959 offset:00037e23 *********************************************************** 上記のようなメッセージが出力されます。 apacheのエラーログ ************************************************************ [Thu Mar 20 02:30:39 2008] [notice] Apache/2.2.4 (Win32) PHP/5.2.3 mod_perl/2.0.3 Perl/v5.8.8 configured -- resuming normal operations [Thu Mar 20 02:30:39 2008] [notice] Server built: Jan 9 2007 23:17:20 [Thu Mar 20 02:30:39 2008] [notice] Parent: Created child process 1700 [Thu Mar 20 02:30:47 2008] [crit] master_main: create child process failed. Exiting. [Thu Mar 20 02:30:47 2008] [notice] Parent: Forcing termination of child process 36 **************************************************************** Windowsのアプリケーションイベントログ *************************************************************** 2009/04/04 2:20:08 DrWatson 情報 なし 4097 N/A サーバ名 アプリケーション C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe がアプリケーション エラーを起こしました。 04/04/2009 02:20:08.578 にエラーが発生しました。 発生した例外: c0000005 アドレス 77B77E23 (msvcrt!memcpy) 2009/04/04 2:20:08 Application Error エラー (100) 1000 N/A サーバ名 エラー発生アプリケーション httpd.exe、バージョン 2.2.4.0、エラー発生モジュール msvcrt.dll、バージョン 7.0.3790.3959、エラー発生アドレス 0x00037e23 **************************************************************** 何か原因等お分かりになる方はいらっしゃるでしょうか。 PS.あるブログに mod_perl2とActivePerl build 822を使用するとapacheが起動しない と記載がありましたが、 自分の環境は必ず起動しないわけではないので、 現象が違うのかな?と考えています。 微妙にoffsetの値も違いました。 ttp://perl.g.hatena.ne.jp/Uchimata/20090325/1237996439 参考↑
- 締切済み
- その他(ITシステム運用・管理)
- Apacheが起動できません
プログラミング初心者です。 最初の確認でApacheを起動することはできましたが、 httpd.confの設定を変えてから起動することができません。 起動しようとすると The requested operation has failed! と表示されます。 logsフォルダにあるerrorファイルを見てみました。 [Fri Apr 27 02:07:37 2012] [error] [client 127.0.0.1] File does not exist: C:/Program Files/Apache Software Foundation/Apache2.2/htdocs/favicon.ico と表示されている箇所があり、誤ってファイルを消してしまったのでしょうか。 もう一度インストールしなおすべきでしょうか。 アドバイスよろしくお願い致します。
- 締切済み
- フリーウェア・フリーソフト
- Apache2が起動しなくなった!!
はじめまして。さっそく質問なのですが、Apache2とPHP4の連動のために、Apacheのconfフォルダにあるhttpd.confの中身を設定通りいじって 「LoadModule php4_module c:/php/sapi/php4apache2.dll」←追加 「AddDefaultCharset none」←変更 「AddType application/x-httpd-php .php」←追加 そして、php.ini側では、 「doc_root = "c:/Program Files/Apache Group/Apache2/htdocs"」 「extension_dir = "c:/php/extensions"」←変更 でしましたが、その後、Apacheを再起動しようとするとエラーになって再起動ができなくなりました。 どなたか、なにか気になる点があれば教えて下さい!! お願いします。
- ベストアンサー
- PHP
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
お礼
情報ありがとうございました! URL参考にさせていただきます。 皆様いろいろと助言して頂いて本当に参考になりました。 どうもありがとうございました。