- ベストアンサー
サーバのログについて
m_kazu55の回答
- m_kazu55
- ベストアンサー率63% (108/169)
> /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a Code Red の変種である、Code Red II ワームが侵入を試みた場合に採られるログです。 オリジナルの Code Red ワームでは XXX... の部分が NNN... になります。 > /c/winnt(中略)/cmd.exe /c+dir これは、Nimda ワームが侵入を試みた場合に採られるログです。 他に下記のようなログも、Nimda ワームの仕業です。 /scripts/root.exe?/c+dir /MSADC/root.exe?/c+dir /d/winnt/system32/cmd.exe?/c+dir /scripts/..%5c../winnt/system32/cmd.exe?/c+dir /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir /msadc/..%5c../..%5c../..%5c/..チ ../..チ ../..チ ../winnt/system32/cmd.exe?/c+dir /scripts/..チ ../winnt/system32/cmd.exe?/c+dir /scripts/winnt/system32/cmd.exe?/c+dir /winnt/system32/cmd.exe?/c+dir /scripts/..%2f../winnt/system32/cmd.exe?/c+dir > ちなみに攻撃してくるIPは自分と似たIPが多いです。 これは、ウィルスの性質です。 全くランダムな IPアドレスを攻撃するより、自分に近い IPアドレスに攻撃した方が、標的になる IPアドレスが多いと言う理由のようです。 最後にですが、これからはサーバだけではなく、セキュリティについても知っていた方が良いことが多いので、一緒に勉強されては如何でしょうか。
関連するQ&A
- apacheのログからNIMDA、CODEREDの見分け方
apacheのログから、Nimda,CodeRed,Codered(2)のそれぞれの 攻撃を受けたかを判別する方法はあるのでしょうか? root.exe,cmd.exe,default.idar,Admin.dll等は、nimdaでも CodeRedでもありえるのでしょうか?
- ベストアンサー
- ネットワーク
- Webサーバのログで・・・
8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。
- ベストアンサー
- ウィルス・マルウェア
- CodeRed?
先月CodeRed,CodeRed2のダブルパンチをくらい対策をしたのですが、 18日からwebサーバーへのログが変わりました。 /scripts/root.exe, /c+dir, /MSADC/root.exe, /c+dir, /c/winnt/system32/cmd.exe, /c+dir, /d/winnt/system32/cmd.exe, /c+dir, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir, この様なログが延々と続いています。 一体何でしょうか? CodeRedで感染する(バックドアを仕掛ける)ファイル名にアクセスしているのですか? ちなみに、これらのファイルはサーバー内には有りません。
- ベストアンサー
- ネットワーク
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- パーソナルファイヤーウォールのログ
トレンドマイクロの「ウィルスバスター2001」を使っています。 8月に「CodeRed」、9月に「Nimda」に感染しました。 それで恐くて、最近はずっと毎日ウィルススキャンしているのですが、ふとログを見るとパーソナルファイヤーウォールのログに不正アクセスとして記録されたIPアドレスがあることに気づきました。 そのIPアドレスはいつも同じではないし、規則性がありません。 これはどういうことなのでしょうか。 また、この場合どのような手段をとるべきなのでしょうか? わかる方がおられましたら、教えてください。お願いします。 今使っているOSはWindows95です。 ウィルス感染時にはWindows2000サーバーの入ったパソコンを使っていたのですが、二度のウィルス感染とその対策にかかるコストから個人で使うには手に余るので、HDDごと交換してOSをクライアント向けのものに変更しようと思っています。
- ベストアンサー
- ネットワーク
- 自宅サーバーのログ
自宅サーバーを勉強中のものです。 無事に外部からも接続できることを確かめたのですが、 家に帰りアクセスログを見ると何故か404があります。 (私が外部からアクセスしたものではありません) しかも、エラーログをみると、 c,d,MSADC,scriptsなどにアクセスされているみたいです。 上記のようなフォルダーもファイルもないので エラーになって当たり前なのですが、 時間をおいてなんどもアクセスされています。 http://www.arearesearch.co.jp/ip-kensaku.html でIPアドレスを検索したら IPアドレス割り当て国が中国となっていました。 これは自宅サーバーをたてた時からありました。 まだ、ドメインをとっていないのでIPアドレスを 直接入力しなくてはならないのに 何故このようなアクセスがあるのでしょうか?? ちなみにちがうサイトでIPアドレスを検索してみると Asia Pacific Network Information Centre とでてきました。 いったいなんなんでしょうか?
- ベストアンサー
- その他(OS)
- winnt/system32/cmd.exe?/c+dir+C:\
ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\
- ベストアンサー
- ネットワーク
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- 他のサーバードライブをntbackupでバックアップ
サーバーを追加してデータファイルを全てそのサーバーに移したのですが、 予算が無くバックアップは既存のサーバー機で行うことになりました。 既存のbackup.cmdを下記のように編集して新サーバーの共有ドライブ(フォルダー) を指定したのですが、上手く行きません。 手動で行うと問題なくバックアップできるのですが、自動にするとバックアップが取れません。 logを見るとアクセス権が無いと出てきます。 アクセス権の取得法またはそれに代わる解決策があればお教え願いたいのですが 宜しくお願いします。 新サーバーのフォルダーは共有ドライブ(M)として設定済みです。 既存サーバー OS=WindowsNT4.0 SP5 追加サーバー OS=Windows2000 テープドライブは既存のサーバーに内蔵されています。 backup.cmd オリジナルの内容 ntbackup backup c: d: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF backup.cmd 変更後の内容 2行目の指定ドライブを新サーバーのフォルダーを指定 ntbackup backup m: /d "自動バックアップ" /b /t normal /l "c:\winnt\MBackup.log" /e /tape:0 ----- backup.cmd EOF ATコマンド用バッチファイル SBackup.batの内容 rem ************************************************************* AT 23:00 /interactive /every:m,t,w,th,f,s,su c:\winnt\backup.cmd ----- SBackup.bat EOF 既存の設定はサーバー導入時に納入業者の方に全て任せて行いました。 今はその会社と取引が無いので問い合わせも出来ないのでここにお願いするしだいです。 現在は毎朝手動でbackup.cmdを起動して行っています。
- ベストアンサー
- Windows NT・2000
- http://www.worm.com/って何ですか
NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
- ベストアンサー
- ネットワーク
お礼
回答ありがとうございます。 お礼が遅れてすみませんでした。 NimdaとCodeRedの特性がよくわかりました。 >これからはサーバだけではなく、セキュリティについても知っていた方が良いことが多いので、一緒に勉強されては如何でしょうか。 今回皆さんの回答を読ませて頂いて痛感しました。 日々精進しようと思います。 ありがとうございました。