Webサーバのログに異常なログが残っている件について
- Webサーバのログに、怪しいログが残っています。適切な対策が必要です。
- ログには、CODEREDに似たログが含まれており、ウィルス対策ソフトのライセンス証書が見当たらない状況です。
- 他のWeb管理者や既知のワームや新種に関する情報を求めています。
- ベストアンサー
Webサーバのログで・・・
8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。
- Haizy
- お礼率72% (31/43)
- ウィルス・マルウェア
- 回答数3
- ありがとう数7
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
こんばんわ、疑問はつきませんね。 さてご質問の件ですが、戻り値404でした?400では有りませんでしたか? 私のところのApacheのログでにたようなものが有ったので、調べてみましたら、WinntAutoAttackというアタックツールからの攻撃のようです。 ちょっとあまりに長いログなのでびっくりしましたが。
その他の回答 (2)
- pierre2
- ベストアンサー率24% (259/1070)
某T○○ndm○croのInt○rSc○nV○r○sw○llを お使いでしたらとりあえずサポートに連絡 なさってしまった方がいいかも知れません。 Active Updateの不具合(!?)か何かで 手動でUpdateを一度かけないと特定のSignature 以降にUpdateできないとかって先月位に連絡が あったような気がします。 めちゃめちゃ漠然としていてすみません(笑
お礼
ありがとうございます。 そちらについては、通知もいただいておりますし、該当製品は対応済みです。
- pierre2
- ベストアンサー率24% (259/1070)
こちらのログの内容は確認していませんが、 NachiがWebDAVにいたずらしようとしているのでは?
お礼
回答ありがとうございます。 最新のワーム Blaster/Nachi は、ベンダー各社も動作検証中なようなので、可能性は有りそうですね。ただ、今日になったらそのようなパケットが来ていないので、不思議なところです。 有る意味、Blasterの亜種感染マシンがNachi(Blasterの実行ファイルを消すらしい)に置き換えられたタイミングで、攻撃コードが消えたのかもしれませんね。 だとすると、やはり連絡の必要ありですね。 証書よ・・・いずこ(--; ありがとうございました。
関連するQ&A
- サーバのログについて
個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス
- ベストアンサー
- その他(インターネット接続・通信)
- http://www.worm.com/って何ですか
NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
- ベストアンサー
- ネットワーク
- "Code Red"Worm の感染?
自社Webサーバー(WinNT 4.0 SP6a:Apache)を利用してます。 最近下記のログが異様に出ています。 このサイト履歴から参考にして、各社からでているツールでチェックしても、”idq.dllが存在していないから、このワームからプロテクトされている”見たいなものが出ますが、本当に信じてよいのでしょうか? また、このエラーは8/1からでていて、昨日マイ○ロソフトから出ている差分パッチを当てて、さらに、修正プログラムでレジストリーに追加するようなq300972を入れておきました。 その後でも、下記のエラーは出ています。これは、単に隙が無いか探りを入れているだけでしょうか?教えてください。 62.○72.142.55 - - [09/Aug/2001:04:47:18 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 333 211.0.○34.187 - - [09/Aug/2001:05:07:43 +0900] "GET /default.ida?xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 286
- ベストアンサー
- ネットワーク
- WEBサーバーのアクセスログについて
お世話になります。 XserverでWordPressサイトを公開しています。 アクセスログについて教えてください。 リクエストラインに下記のようなURIのないアクセスがあります。 "GET / HTTP/1.1" これはどこにアクセスしているものなのでしょうか? よろしくお願いします。
- ベストアンサー
- レンタルサーバ・ASP
- WEBサーバーのアクセスログについて
お世話になります。 XserverでWordPressサイトを公開しています。 アクセスログについて教えてください。 リクエストラインに下記のようなURIのないアクセスがあります。 "POST / HTTP/1.1" これはどこにアクセスしているものなのでしょうか? よろしくお願いします。
- ベストアンサー
- レンタルサーバ・ASP
- Teraterm[connect]応答がない
WinServer2008(32bit)でteratermマクロを起動しています。 マクロファイルの内容(ファイル名:MACRO.TTL) 1>>filedelete 'NM_00.LOG' 2>>connect 'xxx.xxx.xxx.xxx:22 /ssh /2 /auth=password /user=xxxx /passwd=xxxx /timeout=20' 3>>if result<>2 goto timout_connect 4>>filedelete 'NM_01.LOG' ・・・中略・・・ 97>>timout_connect 98>>filedelete 'NM_99.LOG' 99>>end BATファイルの内容(ファイル名:MACRO_RUN.BAT) ttpmacro.exe MACRO.TTL BATファイルはteratermがインストールされた 「ttpmacro.exe」が存在するフォルダにあります。 上記BATファイルをWinServer2008(32bit)で動作をさせると 問題なくマクロの処理が実行されます。 この処理を端末を問わず行いたいとの要望があり webシステムを作りました。(silverlight5+VS2010C#) 実際の動作は下記の様なイメージです。 ・操作端末(Win7)⇒⇒⇒WinServer2008(32bit)⇒⇒⇒Teraterm接続先 ココでBATファイルを起動する事は出来たのですが 2>>の[connect]コマンドが無応答となってしまっています。 'NM_00.LOG'←消えている 'NM_01.LOG'←残っている 'NM_99.LOG'←残っている タスクマネージャーには ttpmacro.exe、ttermpro.exe、cmd.exeが残っています。 IIS(Ver7)、teraterm(Ver4.90)での設定等何か必要な事があるのでしょうか 宜しくお願いします。
- ベストアンサー
- Visual Basic
- webのログについて
webで記録できるログについて詳しく知りたいので、できれば項目をあげていただければありがたいです。 どうぞよろしくお願いいたします。 また、webに残るログでskypeの画面共有でブラウザを共有している場合、画面共有のログなどを検知するなどといった技術は可能でしょうか。
- ベストアンサー
- ネットワーク
- WEBサーバーのログを定期的に収集したいが・・・
WEBサーバー(IIS5.1)のログを収集してまとめたいのですが「自動収集してファイルに落とす」方法で悩んでいるのでご教示願います。 LogParserを使用して取るのですが1ヵ月ごと及び3ヶ月分まとめたものを取りたいと考えています。その辺はバッチを組んで取ればすぐに解決はしますが・・・IISの出したログは月ごとの設定にしてあります。 そうするとログのファイル名はex0801.logとかなりますがその度バッチで収集するファイル名を変えてもいられないので自動的にバッチの内容を変えれたらいいのですが 3ヶ月毎も同様にです。 何年分も予測してバッチも作っておくわけには行かないのでファイル名変更に対応していけるようにしたいのですがいい方法が思い浮かばないのでヒントとかありましたらお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- WEBサーバーのログを収集する方法で困っております
WEBサーバーを管理しているときにログが出ると思いますがLogParserを用いてログ集計をしている方いらっしゃいますでしょうか? IISででたログをLogParserを使って月ごとおよび四半期ごとに自動収集をしてCSVファイルに落としたいと考えております。 取得するためにVBscriptを使うつもりですがこういうやり方がよいよ!みたいなヒントがあったら教えて下さい。 VBSをバッチで定期的に動かすつもりではありますが・・・・ 四半期をどうしようか非常に悩んでおります。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
ありがとうございます。 >Port139&memo こちらのサイトには毎度お世話になっております。 google で ”CCCCC”でヒットしてくれれば良かったのですが・・・。 これで一応の報告はできそうです。
補足
こちらのサーバは、表記するがアレなんで、明記しなかったのですがIISです。Apacheさんとは多分動作が違うのでしょう。