サーバへの不自然なアクセスとは?

前へ 次へ
このQ&Aのポイント
  • 初心者ながらサーバ管理をやっているものです。今日、HTTPサーバのアクセスログを見ていて発見したのですが、ここ数日、13時30分頃から約10分の間に、30~40件の不自然なアクセスがあるようです。
  • その特徴を箇条書きにします。参照元クライアントのIPアドレスは同じ(ただし日によって異なる)、そのIPはJPNICのWHOISによると大手ネットワーク業者が所有するIPとなっている(日によって業者が異なる)、参照先サイトのURLはアダルトサイトであり、METHODにはGETもPOSTも使用されている、こちらのサーバには存在しないドキュメントを参照されている(しかもドメイン名が異なっている)。
  • 不自然なアクセスが続いており、原因がわからない状況です。おそらくダイアルアップなどで接続している人の要求がサーバに来てしまっている可能性があります。解決策を知っている方がいれば、教えていただけると助かります。
回答を見る
  • ベストアンサー

サーバへの不自然なアクセス

初心者ながらサーバ管理をやっているものです。 今日、HTTPサーバのアクセスログを見ていて発見したのですが、 ここ数日、13時30分頃から約10分の間に、 30~40件の不自然なアクセスがあるようです。 その特徴を箇条書きにします ・参照元クライアントのIPアドレスは同じ(ただし日によって異なる) ・そのIPはJPNICのWHOISによると大手ネットワーク業者が所有するIPとなっている(日によって業者が異なる) ・参照先サイトのURLは "http:"から始まる完全なもので、全てアダルトサイト ・METHODにはGETもPOSTも使用 ・こちらのサーバには存在しないドキュメントを参照されている(しかもドメイン名が完全に異なっている) これはログの一部です xxx.xxx.xxx.xxx - - [12/Mar/2001:13:38:44 +0900] "GET http://www.topjapan.com/free/index.html HTTP/1.0" 200 11698 (アクセス元のIPは伏せています) 私が管理しているサーバのドメイン名はもちろん"topjapan.com"ではありません。 おそらくダイアルアップかなにかで接続している人の要求が こちらのサーバにきてしまっているのだと思うんですが、 まったく原因がわかりません。 原因がわかる方がいれば、是非、教えていただきたいです。

  • morix
  • お礼率100% (4/4)

質問者が選んだベストアンサー

  • ベストアンサー
  • selenity
  • ベストアンサー率41% (324/772)
回答No.1

GET http://~/~/xxx.html というログがあるのであれば、プロキシ接続 を試みたのではないでしょうか? 自サイト当ての正常なリクエストであれば URLのホスト名の部分は無く、パス名だけの はずです。 このサーバ上でHTTP PROXY機能が有効に なっていませんか?しかも、何処からでも 接続可能な接続許可設定になっているのでしょう。 見方を変えると、不正中継されているという事です。 しかも、STATUSが200なのできちんと不正中継 されているという事です。

morix
質問者

お礼

あ、PROXYの機能がオンになってました。 オフにしたつもりだったのですが。 誰かがHTTPサーバのエラー画面をみて、このサーバならプロキシなると考えて 中継させたということですか…。 ありがとうございます。 PROXYをオフにしてもう少し様子を見てみようと思います。

morix
質問者

補足

接続してきたクライアントに対しては403エラーの画面を表示するようにしておきました。 アクセスの仕方(接続の間隔、時刻)を見るとどうも自動で接続しようとしてるみたいです。 このまま放っておいても問題はないと思うのですが、いい感じがしません。 何か良い手はないでしょうか。

  1. カテゴリ
  2. インターネット・Webサービス
  3. インターネット接続・通信
  4. その他(インターネット接続・通信)

関連するQ&A

  • 不正なアクセスらしいんですが意味が分かりません

    サーバーのアクセスログに以下のようなものがあります。 220.166.32.133 - - [31/Jan/2005:22:33:57 +0900] "GET http://www.microsoft.com/ HTTP/1.1" 200 30613 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)" "-" 221.200.62.75 - - [04/Mar/2005:08:08:29 +0900] "CONNECT 64.12.137.249:25 HTTP/1.1" 200 315 "-" "-" "-" 221.200.62.75 - - [04/Mar/2005:08:08:54 +0900] "GET http://www.ebay.com/ HTTP/1.1" 200 32606 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)" "-" どちらも中国のホストからのアクセスで、最近増えている不正アクセスだと思います。 ここで疑問なのは、microsoft.comやebay.comと表示されている部分です。(これはこちらのサーバーに対するリクエストを示していると思うんですが) 他の通常のアクセスでは、 provider.ne.jp - - [日時] "GET /filename.gif HTTP/1.1" 200 471 "http:// mydomain/dirname/filename.html" "useragentname" "-"となっています。 存在しないmicrosoft.comやebay.comを要求されたら、エラーログにFile does not existなどと記録されるのではないのでしょうか?(該当日時にエラーは記録されていません) そもそもこれは不正アクセスでしょうか? 要領を得ない質問ですが、どなたか教えて下さい。

  • 自サーバ経由の他のサーバへのリクエストを拒否したい

    自宅でサーバを運用しています。 OS:Ubuntu 11.10 Apache:2.2.20-1ubuntu1.3 昨日、access.logを見ていると、妙なリクエストがありました。 xx.xx.xx.xx - - [25/Dec/2012:10:17:30 0900] "POST http://xxxxxxxx.com/?strGet=xxxx HTTP/1.1" 200 1234 "-" "-" 普通、httpdへのGET、POST、HEADなどのリクエストは、 GET / GET /index.html GET /image/foo.jpg のように、DocumentRootからの自サーバの要素に対してのみ受け付けられると思っていたのですが、上記のように、POSTで全く別のサーバにリクエストを送信しており、コード200で正常に処理されています。 アクセス先の http://xxxxxxxx.com/ (パラメータなし)にJavascriptを切ってブラウザからアクセスしてみたら(危険な行為でしたが)、ウイルスバスターにブロックされました。 アクセス元のIPアドレス xx.xx.xx.xx は whois コマンドで調べたところ、オランダのホスティングサービスのようでした。 これは自分のサーバが何らかの踏み台にされたのでしょうか。 もしそうだとしたら、Apacheへのリクエストを、自サーバのリソースに限定する方法はないでしょうか。 GET http://foo.com/ POST http://bar.com/ などを阻止したいのです。 よろしくお願いします。

  • ネームサーバ情報が違う?

    例えば、google.co.jp をwhoisで見ると、 [ネームサーバ]として ns1.google.com 等が出てきます。 次に、コマンドプロンプト(DOS窓)にてgoogle.co.jp にpingすると、 そのIPアドレスである 72.14.203.104(等)にping送信されます。 次に、72.14.203.104 をwhoisで見ると、google.com つまりns1.google.comの持ち主の情報が出てきます。 それで普通だと思っていたのですが、ところが、 例えば上記と同じように xxx.jp をwhoisで見て、 その[ネームサーバ]に ns1.yyy.net と出てきたとして、 次に、xxx.jp にpingするとそのIPアドレスである 123.45.67.89 にping送信されたとします。 次に、123.45.67.89 をwhoisで見ると、ns1.yyy.netとは関係のない別の情報、例えばzzz.jp と出てくる場合があります。(zzz.jpは、ns1.yyy.netの持ち主ではないようです) 更にはnslookupでそのIPアドレス(この場合123.45.67.89)を見ても更に違うサーバ名が出てきます。 これは、1つのドメインやサーバーで時々そうなるということではなく、ある特定のドメインやサーバーでそれをやると必ず起こります。 この場合はつまり、xxx.jp にpingした時、zzz.jp にping送信されている、ということですよね? この場合、xxx.jp のサーバ本体?は、ns1.yyy.netなのかzzz.jpなのかどちらなのでしょうか? どうしてこういうことが起こるんでしょうか。 また、どうやったらそうなるんでしょうか。 質問がわかりにくいかも知れませんが、もしある程度でもお分かりになる方、ご存知の方、おられましたらお願いします。

  • Apacheのログに0.0.0.0と記録される

    Windows2000 + Apache2.2で運用しております。 Apacheのアクセスログで、combinedで出力させていますが、アクセス元のIPアドレスがすべて「0.0.0.0」と記録されてしまいます。 0.0.0.0 - - [04/Mar/2007:00:16:39 +0900] "GET / HTTP/1.1" 200 164 0.0.0.0 - - [04/Mar/2007:00:16:40 +0900] "GET /favicon.ico HTTP/1.1" 403 1113 このような感じです。外部からも内部からもこのように記録されます。 Linuxで構築していた頃はこのようなことはなかったのですが、どなたか対策法などご存じでしたらご教授ください。

  • 複数ドメインを設定したサーバへのSSL証明書

    現在、Webサーバが以下2つのドメインでアクセス可能(IPアドレスは1つです)としています。 test1.xxx.com test2 xxx.com この状態で、test2.xxx.comだけSSL証明書を取得し、Apacheに設定すれば https://test2.xxx.comにブラウザからアクセスして何の問題もなくSSLページが参照できるのでしょうか? よろしくお願いします。

  • 5秒に1回以上アクセスしてくる接続元IPをアクセスログから抽出したい

    1分おきにアクセスログを調査し、"/cgi/test.cgi" というファイルに 過去1分間 に12回以上(5秒に1回以上)アクセスしている接続元IPがあるかを 検査したいと思っています。 調査するアクセスログファイルは以下のような位置にドメイン名ごとに在ります。 /home/account/ドメイン名1/access_log /home/account/ドメイン名2/access_log /home/account/ドメイン名3/access_log そしてアクセスログのフォーマットは以下のように、 接続元IP、アクセス日時、アクセス先ファイル、User-agent の順です。 66.77.88.99 - - [01/Mar/2010:21:56:39 +0900] "GET /cgi/test.cgi?order=&class=1& HTTP/1.1" 200 3191 "-" "Mozilla/5.0 (compatible; Googlebot/2.1)" ------------------------------- 例えば単純に #tail -n 100 /home/account/*/access_log |grep "/cgi/test.cgi" で、過去ログ100行分の中で /cgi/test.cgi にアクセスしている 接続元IPの一覧は分かりますが、 「過去1分間に12回以上出現しているIP」を抽出するには、 うまい方法が分かりません。 shはcronで1分おきに実行させる予定です。 よい方法がありましたら、ぜひご提示頂きましたら嬉しいです。どうぞ宜しく御願いいたします。

  • ホスト名からそのサーバーの所有者は判明できますか

    この前変なめーるが送られてきたので、メールヘッダーを調べ、IPアドレスを元にWHOISでサーバーまでは特定しました。XXX.ppp.xxx.ad.jpと完全にドメイン名、ホスト名がわかる状態です。ここからこのサーバーの所有者を調査するにはどうすればよいのでしょうか?

  • レンタルサーバ移行でDNS変更後のアクセスについて

    現在のサーバから、他社サーバへ移行する予定で、既に他社サーバを借りて、 メールアカウント設定やHP開設など受け入れ準備はOKな状態です。 ※ドメイン管理会社は別の会社です。 あとはDNSサーバを変更するのみですが、DNSサーバを変更すると、 元サーバのPOPサーバの設定ではメールが受信できなくなくなる為 DNS変更後に元サーバへアクセスできるサーバ(IPアドレスなど)を 元サーバの管理会社に教えてもらう必要があるかと思いますが これは管理会社に教えれもらわないとわからないものでしょうか。 それとも元サーバの管理会社から教えてもらわなくても、わかるものでしたら どうすれば宜しいでしょうか。 というのも、元サーバの管理会社に移行するので、DNS変更後にアクセスできる サーバ名(IPアドレスなど)を教えてもらえますかと問い合わせたら、全く返事 がもらえないのです。 元々メールの遅延・損失、FTPサーバの反映が遅いなど、サーバトラブルが多く サポートの対応が悪い為、移行することになりました。 ちなみに、「whois情報検索」でドメインのIPアドレスを調べて 現在使用しているメールのPOPサーバに設定してみましたが 受信できませんでした。この設定自体無意味かもしれませんが。。 素人同然でわかりにくい質問かと思いますが、どうかご回答お願い致します。

  • [Apache]ユーザーアクセスの識別方法

    access.logで xxx.xxx.xxx.xxx - - [01/Feb/2013:18:xx:xx +0900] "GET /imgs/xx/xx.gif HTTP/1.1" 200 346 上記のアクセスがたくさん来ているのですが、本当にユーザーのアクセスなのか疑わしく、 ツールなどでGETしているのではと思っています。 識別する方法は何かございますでしょうか。 ご存知の方、宜しくお願いします。

  • apache を使いサーバをたてており、バーチャルドメインを使っているのですが、特定のドメインでしかアクセスできません。

    OSはCentOSです。 a.comとb.jpというドメインを取得しているのですが、a.comでは繋がるのにb.jpでは「サーバーの応答がありません」となってしまいます。 IPアドレスでのアクセスはできます。 a.comとb.jpは同じIPで登録してありますので名前解決が間違っているということはありません。 tailfでアクセスログを見てみたところ、b.jpにアクセスした際は全くログは書き出されませんでした。エラーログも同様です また、ためしにc.comというドメインを取得してアクセスしてみたところこれもまたアクセス不可能でした。 httpd.confの設定は間違っていないと思います。 どこに原因があるのでしょうか・・・分かる方いたらご教示お願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する