- ベストアンサー
apacheのログからNIMDA、CODEREDの見分け方
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
J_ANBIさんのいうとおりCodeRed(2も)は「default.ida」にリクエストだしますね。 http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/coderedworm.htm Nimdaと区別が難しいのはCodeBlueですね。(参考URLを) これは一連のリクエスト動作から判断するのではないでしょうか?
その他の回答 (1)
- J_ANBI
- ベストアンサー率48% (24/49)
default.idaを狙ってくるのが、CodeREDで、root.exeとcmd.exeを狙ってくるのが、Nimdaの筈です。また、特徴として、両方ともオーバーフローを狙ってくるので、要求されたアドレスが大変冗長になっている筈です。 これをヒントにgrepか何かを使ってaccess_logを検索すれば、判別できるでしょう。
関連するQ&A
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
- サーバのログについて
個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス
- ベストアンサー
- その他(インターネット接続・通信)
- nimdaがどの検知ツールでもひっかからない?
nimdaによって感染した「admin.dll」や「Riched20.dll」は どこのウイルス検知ツールを用いても検知できないと言われました(9/28現在) ということで、上記2つのファイルを上書きしなさい という指示を受けています。 シマンテックやネットワークアソシエイツのnimda検知ツールを使って大丈夫っといっても 「検知ツールは意味無いです」の一点張りです。 本当にadmin.dllやRiched20.dllは検知できないのでしょうか? (admin.dll等も検知できるツールはどこにあるのでしょうか?)
- ベストアンサー
- ネットワーク
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- Apacheのログについて
apacheのログの設定について苦戦しています ログローテートをしたいのですが出来ません。 ログの書式を設定したいのですが 解決方法を教えていただけないでしょうか。 httpd.confで次の設定をしています。 ・ログローテートについて CustomLog "|/opt/apache/bin/rotatelogs /opt/apache/logs/access_log.%Y%m%d 86400" hoge CustomLog "|/opt/apache/bin/rotatelogs /opt/apache/logs/error_log.%Y%m%d 86400" hoge ・ログの書式について [日時] [ホスト名] [情報レベル] [詳細] という風に設定したいです。 次の設定にしています。 LogFormat "%t %h %l %u %t \"%r\" %>s %b" hoge その他の設定はほとんどデフォルトから変更しておりません。 OS : centos 4.6 Apache version: 2.2.11 以上です。よろしくお願いします。m(_ _)m
- ベストアンサー
- その他([技術者向] コンピューター)
- apache log 解析でユーザ解析
アパッチのログで 127.0.0.1 - admin [25/Jan/2005:14:06:35 +0900] "GET /manager/status HTTP/1.1" 200 5508 みたいなのがありますが、この "admin" の部分を 解析したいと思っています。 wwwstat analog などでは無理?な感じ。 何かいいソフトないでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- apacheのログについて
apacheのバージョンに依存するのかわかりませんが、access_logを見ると端末の情報(OSのバージョンとブラウザーの情報)が見れる事が ありますが、これらの情報を見れる方法を教えて頂けませんでしょうか。以前、確認出来たapacheバージョンは、2.0.54-5ですが、他に 確認出来るバージョン(あるいは、確認された事があるバージョン) があれば教えて頂けませんでしょうか。またバージョンに依存しない 場合で確認出来る方法が有れば、教えて頂けませんでしょうか。 どうかよろしくお願いいたします。
- ベストアンサー
- ハードウェア・サーバー
- Apacheでのaccess_logの設定
Apacheでaccess_logを自動で記録するようにデフォルトの設定になっているのですが、これを1週間ごとに保存できるように設定することはできますでしょうか? 12月の半ばにサイトをオープンしたばかりですが、それ以来、1つのaccess_logファイルに追加されている状態です。 現在のlog指定行は下記のみです。 CustomLog /usr/local/apache/logs/xxx-access_log combined 当方初心者なので、参考サイトも教えていただけると大変助かります。 よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- apache2のログの分け方について
自宅サーバーでBBSのCGIを動かしています。 VineLinux3.2+Apache2 長すぎるリクエストのログを残さないように LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined とhttpd.confに記入してうまく機能しています。 そのほかに不正なアクセス(主に海外から)をドメインやIPアドレスで 制限しているのですが、ログに403エラーがたくさん残ってしまいます。 上記の方法で"414"の部分を"403"に書き換えても機能せず 大量のログが残ってしまいます。 ログを残さないようにするために何か良い方法はないでしょうか?
- ベストアンサー
- Linux系OS
- apacheでログを圧縮&再起動を掛けたい
長い質問ですみません。随分試行錯誤した上でまだ悩んでいます。 無料プロバイダを個人運営でやっているものなんですが、 サーバーのログをhttp.confの設定でこんな感じで作成し、 CustomLog /var/log/apache/XXX.XXX.ne.jp-access.log combined これをCSV扱いしてCGIで読み取り、解析をしています。 自動的に一週間でログの切り替えを行っている様で最初はこれでよかったのですが、アクセスが増えるにつれcgiとログファイルが非常に重くなってきました。 そこで、以下のことをしようと思っています。 cronを使えば良いのではないかと思いました。 1.一定のアクセスの少ない時刻にログ圧縮をかける (圧縮ファイルは上書きでよい。どっちみちそんなに遡っては見ないので) 2.apacheを再起動する (再起動かけないと新しいlogファイルが作成されない様なので) ちなみに手動では以下の方法で出来ました。 gzip /var/log/apache/XXX.XXX.ne.jp-access.log ps x kill プロセスID /usr/sbin/apache でも自動だと kill プロセスIDがダメなんです。 同じIDでapacheが起動してくれないので・・・。 1.apacheを一定時間に確実に再起動させる方法 2.それ以外の1日単位でログファイルの切り替えを行う方法 CGIが一定ファイルを読む仕掛けになってるので現在アクティブなファイルは 同じのままという条件で のどちらかを教えてください。 ちなみに、 http://www.rfs.co.jp/server/apache/06.html の方法はhttpd.pidがwhereisとかfind探しても見つからないという 理由により挫折してますのでこれはアドバイスしないでください。 見つける方法がわかればそれでもまあいいのですが。
- ベストアンサー
- ネットワーク
