Apacheのaccess.logに不安なログが記録されている?
- 自宅サーバの勉強のためにApache 1.3をインストールしていますが、access.logに怪しいログが記録されています。
- 外部からのアクセスがあったのか不安になっています。
- ログの内容やログの見方について教えていただけると助かります。
- ベストアンサー
Apache access.log ちょっと不安
こんにちは、 自宅サーバの勉強のため、Apache 1.3をインストールしています。 環境: OS:WindowsXP SP1 ルータ:WLAR-L11-L / WLAR-L11G-L Ver.1.30 プロバイダー:YAHOO BB ADSL 無料ダイナミックDNSを設定して、自分のURLを取得しています。 Apacheのaccess.logをみると、 219.156.179.27 - - [04/May/2003:23:43:03 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX やら、 219.250.73.214 - - [05/May/2003:00:15:25 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 のようなものがあり、外部から進入があったのかなと不安になります。 上記、ログが何なのかお分かりの方がいましたら教えてください。 また、ログの見方などの参考URLがお分かりの方がいましたらあわせて教えてください。 よろしくお願いします。
- putitpmatp
- お礼率69% (431/618)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは、お困りですね。 さてご質問の件ですが、非常に多いですよね。家でもログを見るのがいやになってしまいます。どこでも多いようでして、ネット上にたくさんの情報がありますね。 二つに関しては、下記のサイトがまとまっているようです。家でも、ログの設定を変えた方が良いな・・と思いつつ・・まだ何もしていない・・
関連するQ&A
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- apacheのアクセスログについて
Webサーバを運営しています。 昨日の15時頃から、apacheのaccess.logに、IPアドレスだけでなく、DNSで逆引きしたホスト名が出力されるようになりました。しかも、同じIPからなのに、IPアドレスだったりホスト名だったり、という混在状態です。 120.nnn.nnn.nnn - - [08/Oct/2013:13:51:46 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:31 0900] "GET /(以下略) このような感じです。上記のログの120.nnn.nnn.nnn(IPアドレス)とxxxx.yyyy.zzz.ne.jp(ホスト名)は、同一のものです。 昨日の15時頃というと、アクセス拒否したいネットをdeny from に追加していたくらいで、他には何もいじっていません。(各コンフィギュレーションファイルのタイムスタンプでも確認しました。) HostnameLookupsはOffになっています。 ログを出力するたびにDNSの逆引きをしていると、OSに負荷がかかるのかと危惧しています。また、IPアドレスでログをgrepするときにも支障が出るので困っています。 何か原因に心当たりのある方がいらっしゃれば、教えていただけないでしょうか。 よろしくお願いします。 OS Ubuntu 12.04.3 LTS Linux www 3.2.0-54-generic #82-Ubuntu SMP Tue Sep 10 20:08:42 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux Apacheのバージョン: Server version: Apache/2.2.22 (Ubuntu) Server built: Jul 12 2013 13:37:10
- ベストアンサー
- Linux系OS
- apacheのaccess.logについて
最近自宅にてdebianでwebサーバーを公開し始めました。 サイトは昔の部活仲間や友達内だけの小さなサイトです。 当初からapacheのaccess.logのログをみて、 さまざまな国からアクセスがあったことを知って戦々恐々としています。 自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、 sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。 ポートは80番とsshのみ開けています。telnetは消しました。 cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。 これでだいぶ国外からのアクセスが減ったのですが、 まだこのような良くわからないアクセスがaccess.logに残ります。 これらについて教えてください。 ----------------------------- 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-" 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)" ----------------------------- 1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" ----------------------------- 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" ----------------------------- 189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-" 95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-" 91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-" 93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-" 221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25" ----------------------------- 相手のIPまんまですが 一つ目の「74.7.65.34」のアメリカからのアクセスの "\x80w\x01\x03\x01" 403 278 "-" "-" の「\x80w\x01\x03\x01」はいったいなんですか? 二つ目の台湾からのアクセスについてわかることを教えてください。 あと自分は初心者ではっきりとはわからないのですが、 三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、 わかることを教えてください。 四つ目の5つは古いログであまり対策がとられていなかったころのものですが、 「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、 これらは悪意のあるアクセスですか。わかることを教えてください。
- ベストアンサー
- ネットワーク
- Apache アクセスログ 不審な足跡
Apache 2.0.52 CentOS 4.5 リバースプロキシとして動いています。 access.logを見ていた所、以下のログが残っていました。 options / - - x.x.x.x Microsoft-WebDAV-MiniRedir/5.1.2600 - 200 このログは危険な状態を表しているのでしょうか? ちなみにteslnetで確認すると、 Allow:GET,HEAD,POST,OPTIONS,TRACE と表示される部分がありました。 この表示も危険でしょうか? よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- Apacheのログについて
apacheのログの設定について苦戦しています ログローテートをしたいのですが出来ません。 ログの書式を設定したいのですが 解決方法を教えていただけないでしょうか。 httpd.confで次の設定をしています。 ・ログローテートについて CustomLog "|/opt/apache/bin/rotatelogs /opt/apache/logs/access_log.%Y%m%d 86400" hoge CustomLog "|/opt/apache/bin/rotatelogs /opt/apache/logs/error_log.%Y%m%d 86400" hoge ・ログの書式について [日時] [ホスト名] [情報レベル] [詳細] という風に設定したいです。 次の設定にしています。 LogFormat "%t %h %l %u %t \"%r\" %>s %b" hoge その他の設定はほとんどデフォルトから変更しておりません。 OS : centos 4.6 Apache version: 2.2.11 以上です。よろしくお願いします。m(_ _)m
- ベストアンサー
- その他([技術者向] コンピューター)
- XMLHttpRequestがApacheのaccess_logに残らない
XMLHttpRequestの通信がApacheのaccess_logに記載されません。 var req = new XMLHttpRequest(); req.open('GET', url); req.send(null); だけでテストしてもだめです。しかしXMLHttpRequesの返答はちゃんとできていてステータスコードも正常です。ログに入らないだけです。 これはなぜでしょう。XMLHttpRequestとはそういうものなのでしょうか。 もしそうなら、アクセス数でページビューをカウントする場合、XMLHttpRequestで閲覧した人はページビューにまったく反映されないという事になりますよね
- ベストアンサー
- JavaScript
- Apacheが突然停止した
OS:windows2003 Oracle:9i Apache:apache_2.0.43-win32-x86-no_ssl.exe イベントビューアのエラー内容 ・ソース内容:Apache Sverice ・イベント:3299 ・説明 THe Apache service named d:\oracle\pra92\Apache\Apache\apache.exe reported the following error >>>曜日 月 日 hh:mm:ss 2010 [warn] pid file d:\oracle\pra92\Apache\Apache\logs\httpd.pid overwritten -- Unclean shutdown of previous Apache run? <<< before the error.log file could be opened. More information may be available in the error.log file.
- 締切済み
- その他([技術者向] コンピューター)
- ルータの設定
こんにちは、 自宅でLANを組んでいます。 無料ダイナミックDNSを設定して、自分のURLを取得しました。ルータの設定を見てよくわからない点がありますの お分かりの方がいましたら教えてください。 (質問が複数で申し訳ありません。) 環境:WindowsXP SP1 ルータ:WLAR-L11-L / WLAR-L11G-L Ver.1.30 プロバイダー:YAHOO BB ADSL -ルータの本体情報より- WAN側IPアドレスの設定方法 自動取得(成功) リース取得時間: 2004年8月17日 11時25分34秒 リース期限: 2004年8月18日 11時25分34秒 DHCPサーバ: ***.**.***.*** デフォルトゲートウェイ: ***.**.***.*** プライマリDNSサーバ: ***.**.***.*** セカンダリDNSサーバ: ***.**.***.*** WAN側IPアドレス ***.**.***.*** WAN側サブネットマスク 255.255.254.0 LAN側IPアドレス ***.**.***.*** LAN側サブネットマスク ***.**.***.*** デフォルトゲートウェイアドレス ***.**.***.***(自動取得) DNSサーバアドレス プライマリDNSサーバ:***.**.***.***(自動取得) セカンダリDNSサーバ:***.**.***.***(自動取得) 質問1)ここで自動取得しているのは、どこからなのでしょうか?(YAHOO BB?) 質問2)WAN側IPアドレスは、誰からもらっているのでしょうか? 質問3)デフォルトゲートウェイアドレス ***.**.***.***(自動取得) DNSサーバアドレスが自動取得されていますが、これは、無料ダイナミックDNSから与えられているのでしょうか? 以上、よろしくお願いします。
- ベストアンサー
- ネットワーク
- エラーログ(URI too long)
サーバーのエラーログに1日2~7回程度、URI too longが記録されています。 アクセスログを見ると、中国、韓国のプロバイダからで "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1… 以下\x02\xb1を1075回、\x90を6033回繰り返し(32732文字、確かにtoo long!) となっています。5日分見ましたがSEARCH /以下は全て同じです。 これは、いわゆる「攻撃」の類なのでしょうか? サーバーは414エラーを返しているようですが、サーバーの動作に支障はないのでしょうか?
- ベストアンサー
- ネットワーク
- apacheのバーチャルホストについて
恐れ入ります。 linuxでサーバーの運営をしてみようかなと思っているのですが、windows xp proで試しにapacheを入れてみてドメインを2つ取得してhttpd.confのバーチャルホストについて記述してみました。 その際に以下をつけたして新しいドメインでブラウザからアクセスしてみたら普通にアクセスできました。どこかのサイトでDNSサーバーを自分のlinuxにたちあげないといけないみたいなことが書いてあったのですが、linuxの場合はdnsサーバーをたちあげないといけないのでしょうか?教えてください。 <VirtualHost xxx.xxx.x.xx> ServerAdmin xxx@xxx.com DocumentRoot "C:\Program Files\Apache Group\Apache2\aaa" ServerName 新しいドメイン ErrorLog logs/dummy-host.example.com-error_log CustomLog logs/dummy-host.example.com-access_log common </VirtualHost>
- ベストアンサー
- Linux系OS
お礼
返信ありがとうございます。お蔭様でよく理解することができました。