• ベストアンサー

これってアタック(不正進入)されているの ?

Win2000 + IIS 5.0 の環境でサーバーを稼動していますが Log ファイルを見ると以下のようなメッセージと サービス状態 200(正常) 操作内容 GET 対象URL ../winnt/system32/cmd.exe などと表示されています。 これってアタック(不正進入)されているの でしょうか ? また、不正進入だと防ぐ方法はありますか ?

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

OSとIISが最新の状態であればNimdaは回避できるはずですので、問題ないでしょう。 アタックだけであれば問題ありませんので大丈夫です。 …ただアタックに対するログが(正常)っていうのは大丈夫なのでしょうか??私はLinuxのログしか見たことが無いので何ともいえませんが…。 Server Protectが何も発見していないようなので大丈夫とは思いますが、この手のソフトはウィルス定義ファイルが出るまでに間があいてしまいますから、ニュースに注意しながら危険度が高いウィルスが急速に広まっているようなら、定義ファイルが出るまでサーバーを止めるくらいのことはしたほうがいいかもしれません。 実際、nimdaの時は感染を恐れてサービスを停止したサーバーが結構ありました。 あの時はMSNが感染してましたから(笑

ShiroNeko
質問者

お礼

色々とコメント大変有難うございます。 私はまだLinux には手を付けていませんが、ウィルスやアタックの状況は 如何でしょうか ! あの時はMSNが感染してましたから(笑 <---- がんばれ

その他の回答 (1)

回答No.1

典型的なnimda又はその亜種によるアタックです。 …サービスがerrorしていないということは…? nimdaで検索すれば嫌なくらい情報が出てますのでご覧になってください。 OSのバージョンにSPも書かれていないし、 アンチウィルスなどのソフトのことも触れてないようですが、 そういった対策はなさってないのでしょうか??

ShiroNeko
質問者

補足

OSはWin2000 SP2 アンチウィルスはTREND MICRO のServer Protect なるものを 使用していますが、引っ掛からないようです。 甘えて 申し訳ございませんが 対策はありませんでしょうか ?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • apacheのログでこんなの出たんですけど…

    apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?

  • CodeRed?

    先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。

  • IISアクセスログで不正アクセスなどを見破る方法

    タイトルのままなのですが、 IISのアクセスログで不正アクセス等で悪意のある人が操作をしたりするのをログで確認した、と言うことをHPでよく見かけますが、 いったいどの辺りを見たらそういうことがわかるのでしょうか? 現在、まだ不具合が発生していないのですが、 定期的にログを確認していかなければ、と思っておりますが ログのどの部分を見ていったらよいのかよくわかりません。 現在、公開しているサーバーはCitrix Presentation Server4.0で WebInterfaceで公開アプリケーションをインターネットで使用している状況です。 IISはVer5.2です。 具体的な方法をよろしくお願いいたします。

  • IISでURLフィルタリングをする方法

    IIS6.0でURLフィルタリングをかける方法を探しています。 やりたい事としては ・Webアプリ上で、URLにGetパラメータ不正入力によるアタックを規制したい。  そのため、URL内のGetパラメータを分析し、フィルタリングするルールを作りたい。 ・Webアプリ事態は元々IIS4.0で動いていた古い物である。  また、プログラム中Getパラメータを頻繁に利用しているため、Getそのものを  規制するわけにはいかない。 です。 URL承認(AuthUrl.dll)、Web.config、ASAPIのdll作成等を調べたのですが、 なかなか良い方法が見つかりません。 情報、アイディア、何でもいいので、何かご存知でしたらご教授いただけますと幸いです。 よろしくお願いします。 ◆システム構成 Windows Server 2003 IIS 6.0

  • IISのログに出力される「GET」と「POST」の意味

    IISのログに出力される「GET」と「POST」の意味 IISのログに出力される「GET」と「POST」はどういう意味なのでしょうか。 「GET」はサーバーからクライアントに送信した画面で 「POST」はクライアントがsubmitした画面のことなのでしょうか? aspでできているwebシステムを表示したログを解析しています。

  • パフォーマンスモニタをバッチで実行

    NT初心者です。どうぞよろしくお願いします。 NT4.0サーバの稼動中、パフォーマンスモニタを5分間隔で動かし、 結果を一つのログに書き出したいのです。 定時起動をするにはATコマンドがあるということは調べたのですが、 実際のコマンドの記述がまったくわかりません。 ↓このようなかんじかと思うんですが…  AT 00:00 /NEXT: c:\winnt\system32\prefmon.exe  AT 00:05 /NEXT: c:\winnt\system32\prefmon.exe 良い方法がありましたらご教授お願いします。

  • 不正アクセス?

    こんにちは! 常時接続でLinux のsquidを使用しているのですが、 squidのaccess.logにローカルアドレスでないIP アドレス(自分が使用していない)が残ります。 IPアドレスは毎回異なっていて、 "GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE" みたいな感じでログが残ります。 外部のIPアドレスでsquidは利用出来ない設定にしているのですが、 これって不正アクセスされているのでしょうか?

  • winnt/system32/cmd.exe?/c+dir+C:\

    ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\

  • VBAでコマンドプロンプトを呼び出す記述で

    やりたいことはVBAからコマンドプロンプトにてBCP.EXEを呼び出してSQL文を実行することです。 コマンドプロンプトで直接打つと以下のようなコマンドになります。SQL文は長いので省略しました。 ************************* "c:\WINNT\system32\cmd.exe /k" "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " "SQL文" ************************* これをVBAで以下のように記述しました。 ////////////////////////////////////////////////// stAppName = "c:\WINNT\system32\cmd.exe /k" stAppName = stAppName & "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " stAppName = stAppName & "SQL文" Call Shell(stAppName, 1) ///////////////////////////////////////////////// 上のような記述だとコマンドプロンプトでは パスのダブクォテーションがなくなり ************************* c:\WINNT\system32\cmd.exe /k C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe ”SQL文” ************************* のように実行されBCP.exeのパスが通らず以下のエラーになります。 ///////////////////////////////////////////////// 内部コマンドまたは外部コマンド、 操作可能なプログラムまたはバッチ ファイルとして認識されていません。 ///////////////////////////////////////////////// どなたかVBAでコマンドのパスにダブルクォテーションをつける方法を教えてください。

  • WebalertでFLASHに不正URL

    Webalertをサーバに設置しています。 定期診断のURL診断で、以下のような内容の不正URLが初めて検知されましたが、イマイチ対処の仕方がわからず苦慮しています。 判定: マルウェアを検知しました。 危険度: 40 リンク対象 http://www.XXXXXXX.jp/img/△△△.swf 注入 (LOCAL-DRIVE)/system.exe これは、swfファイルの中にマルウェアが埋め込まれているということなのでしょうか。 しかし注入の(LOCAL-DRIVE)/system.exe という意味もよくわかりません。 swfファイルの元のフラッシュも調べましたが、特におかしい部分が見当たりませんでした。 何かわかる方がいましたら教えて下さい。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する