- ベストアンサー
これってアタック(不正進入)されているの ?
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
OSとIISが最新の状態であればNimdaは回避できるはずですので、問題ないでしょう。 アタックだけであれば問題ありませんので大丈夫です。 …ただアタックに対するログが(正常)っていうのは大丈夫なのでしょうか??私はLinuxのログしか見たことが無いので何ともいえませんが…。 Server Protectが何も発見していないようなので大丈夫とは思いますが、この手のソフトはウィルス定義ファイルが出るまでに間があいてしまいますから、ニュースに注意しながら危険度が高いウィルスが急速に広まっているようなら、定義ファイルが出るまでサーバーを止めるくらいのことはしたほうがいいかもしれません。 実際、nimdaの時は感染を恐れてサービスを停止したサーバーが結構ありました。 あの時はMSNが感染してましたから(笑
その他の回答 (1)
- trumphouse
- ベストアンサー率53% (66/124)
典型的なnimda又はその亜種によるアタックです。 …サービスがerrorしていないということは…? nimdaで検索すれば嫌なくらい情報が出てますのでご覧になってください。 OSのバージョンにSPも書かれていないし、 アンチウィルスなどのソフトのことも触れてないようですが、 そういった対策はなさってないのでしょうか??
補足
OSはWin2000 SP2 アンチウィルスはTREND MICRO のServer Protect なるものを 使用していますが、引っ掛からないようです。 甘えて 申し訳ございませんが 対策はありませんでしょうか ?
関連するQ&A
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
- IISアクセスログで不正アクセスなどを見破る方法
タイトルのままなのですが、 IISのアクセスログで不正アクセス等で悪意のある人が操作をしたりするのをログで確認した、と言うことをHPでよく見かけますが、 いったいどの辺りを見たらそういうことがわかるのでしょうか? 現在、まだ不具合が発生していないのですが、 定期的にログを確認していかなければ、と思っておりますが ログのどの部分を見ていったらよいのかよくわかりません。 現在、公開しているサーバーはCitrix Presentation Server4.0で WebInterfaceで公開アプリケーションをインターネットで使用している状況です。 IISはVer5.2です。 具体的な方法をよろしくお願いいたします。
- ベストアンサー
- ネットワーク
- IISでURLフィルタリングをする方法
IIS6.0でURLフィルタリングをかける方法を探しています。 やりたい事としては ・Webアプリ上で、URLにGetパラメータ不正入力によるアタックを規制したい。 そのため、URL内のGetパラメータを分析し、フィルタリングするルールを作りたい。 ・Webアプリ事態は元々IIS4.0で動いていた古い物である。 また、プログラム中Getパラメータを頻繁に利用しているため、Getそのものを 規制するわけにはいかない。 です。 URL承認(AuthUrl.dll)、Web.config、ASAPIのdll作成等を調べたのですが、 なかなか良い方法が見つかりません。 情報、アイディア、何でもいいので、何かご存知でしたらご教授いただけますと幸いです。 よろしくお願いします。 ◆システム構成 Windows Server 2003 IIS 6.0
- 締切済み
- Microsoft ASP
- IISのログに出力される「GET」と「POST」の意味
IISのログに出力される「GET」と「POST」の意味 IISのログに出力される「GET」と「POST」はどういう意味なのでしょうか。 「GET」はサーバーからクライアントに送信した画面で 「POST」はクライアントがsubmitした画面のことなのでしょうか? aspでできているwebシステムを表示したログを解析しています。
- ベストアンサー
- ネットワーク
- パフォーマンスモニタをバッチで実行
NT初心者です。どうぞよろしくお願いします。 NT4.0サーバの稼動中、パフォーマンスモニタを5分間隔で動かし、 結果を一つのログに書き出したいのです。 定時起動をするにはATコマンドがあるということは調べたのですが、 実際のコマンドの記述がまったくわかりません。 ↓このようなかんじかと思うんですが… AT 00:00 /NEXT: c:\winnt\system32\prefmon.exe AT 00:05 /NEXT: c:\winnt\system32\prefmon.exe 良い方法がありましたらご教授お願いします。
- 締切済み
- Windows NT・2000
- winnt/system32/cmd.exe?/c+dir+C:\
ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\
- ベストアンサー
- ネットワーク
- VBAでコマンドプロンプトを呼び出す記述で
やりたいことはVBAからコマンドプロンプトにてBCP.EXEを呼び出してSQL文を実行することです。 コマンドプロンプトで直接打つと以下のようなコマンドになります。SQL文は長いので省略しました。 ************************* "c:\WINNT\system32\cmd.exe /k" "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " "SQL文" ************************* これをVBAで以下のように記述しました。 ////////////////////////////////////////////////// stAppName = "c:\WINNT\system32\cmd.exe /k" stAppName = stAppName & "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " stAppName = stAppName & "SQL文" Call Shell(stAppName, 1) ///////////////////////////////////////////////// 上のような記述だとコマンドプロンプトでは パスのダブクォテーションがなくなり ************************* c:\WINNT\system32\cmd.exe /k C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe ”SQL文” ************************* のように実行されBCP.exeのパスが通らず以下のエラーになります。 ///////////////////////////////////////////////// 内部コマンドまたは外部コマンド、 操作可能なプログラムまたはバッチ ファイルとして認識されていません。 ///////////////////////////////////////////////// どなたかVBAでコマンドのパスにダブルクォテーションをつける方法を教えてください。
- ベストアンサー
- Visual Basic
- WebalertでFLASHに不正URL
Webalertをサーバに設置しています。 定期診断のURL診断で、以下のような内容の不正URLが初めて検知されましたが、イマイチ対処の仕方がわからず苦慮しています。 判定: マルウェアを検知しました。 危険度: 40 リンク対象 http://www.XXXXXXX.jp/img/△△△.swf 注入 (LOCAL-DRIVE)/system.exe これは、swfファイルの中にマルウェアが埋め込まれているということなのでしょうか。 しかし注入の(LOCAL-DRIVE)/system.exe という意味もよくわかりません。 swfファイルの元のフラッシュも調べましたが、特におかしい部分が見当たりませんでした。 何かわかる方がいましたら教えて下さい。よろしくお願いします。
- ベストアンサー
- ネットワーク
お礼
色々とコメント大変有難うございます。 私はまだLinux には手を付けていませんが、ウィルスやアタックの状況は 如何でしょうか ! あの時はMSNが感染してましたから(笑 <---- がんばれ