IISアクセスログで不正アクセスなどを見破る方法

前へ 次へ
このQ&Aのポイント
  • IISアクセスログを活用して不正アクセスを見つけ出す方法について解説します。
  • 不正アクセスを検知するためには、IISのアクセスログを定期的に確認する必要があります。
  • 具体的な方法を説明しますが、注意点としては、Citrix Presentation Server4.0とWebInterfaceを使用している場合でも、IISのバージョンに注意が必要です。
回答を見る
  • ベストアンサー

IISアクセスログで不正アクセスなどを見破る方法

タイトルのままなのですが、 IISのアクセスログで不正アクセス等で悪意のある人が操作をしたりするのをログで確認した、と言うことをHPでよく見かけますが、 いったいどの辺りを見たらそういうことがわかるのでしょうか? 現在、まだ不具合が発生していないのですが、 定期的にログを確認していかなければ、と思っておりますが ログのどの部分を見ていったらよいのかよくわかりません。 現在、公開しているサーバーはCitrix Presentation Server4.0で WebInterfaceで公開アプリケーションをインターネットで使用している状況です。 IISはVer5.2です。 具体的な方法をよろしくお願いいたします。

  • Caya
  • お礼率78% (255/325)

質問者が選んだベストアンサー

  • ベストアンサー
  • bluepark
  • ベストアンサー率64% (18/28)
回答No.1

こんにちは。 「不正アクセスを防止する」観点から申しますと、ログを定期的に見て不正アクセスをチェックする手法は、 気付いた時には手遅れである事がほとんどですので、あまり現実的では無いと思われます。 また、不正アクセスにより管理者権限が奪取された場合、侵入の痕跡に当たる部分だけをアクセスログから 削除される等、ログの改ざんもあるので、ログのみを信用するのは非常に危険です。 とは言いながら、日頃ログをこまめにチェックし、不正な兆候を事前に発見する事自体は非常に重要ですが。 ログから見られる不正な兆候には、例えば以下のようなものがあります。 ・存在しない不自然なファイル名へのアクセス 例えば、以下はIISの脆弱性を衝いて感染する、CODE REDの攻撃の試みが残すアクセスログです。 GET default.ida?XXXXXXXXXXXXXX(中略)XXXXXXXXXXX%u9090%(中略)u0000%u00=a 同様に、「../../../../」が連続するアクセスや、「/system32/cmd.exe」へのアクセスもIISやwindowsの 脆弱性を狙ったものである可能性が非常に高いです。 ・同一アクセス元からの、非常に短時間でのあまりにも大量のアクセス また、アクセスログだけでなく、OS自体のシステムログにも気を配る必要があります。 先にも述べましたように、不正アクセスを防止するためには、アクセスログ以外にも多くの点に気を配る事 が必要です。 主なものを以下に列挙します。 ・ファイアウォールでの、最低限必要なサービス以外へのアクセス制限。 ・不要なサービスの停止、適切なアクセス制限と言ったサーバの要塞化。 ・公開するアプリケーションの、セキュアなプログラミング。 ・OSやWebサーバ等の、こまめなパッチ適用と情報収集。 特にWindows+IISの組み合わせは、非常に多くの脆弱性が発見されています。先述のNimdaのようにパッチ 未適用の場合、アクセスされただけで感染するようなウイルスもあります。他のOSやWebサーバ以上に、 慎重な運用が必要です。 また、ログに不審なエントリが記入された際、メール等で自動通知を行うスクリプトを作成したり、IDSを 導入するなど、検知を極力自動化する事で不審なアクセスへの、より素早い対応が可能になります。

Caya
質問者

お礼

とても詳細な回答ありがとうございます。 ログの何を見るべきか、ログがどのような所まで対策として有効なのか、大変わかりやすく教えていただきました。 不正アクセス防止のさまざまな対策についても教えていただきました事にも、 これから気を配っていきたいと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IISログに不明なアクセス?が、、、

    よろしくお願いいたします。 WEBに公開しているWEBサーバ上のIISログに 以下のような見覚えのないアクセスログが出力されていました。 以下のようなfile:・・・から始まるアクセスは どのような場合に発生するのでしょうか? 外部の個人のディスクトップ上の怪しげなツールからアクセスが あったような、外部からの不正なハッカーの類でしょうか・・・。 file://C:\Documents+and+Settings\hoge0426\デスクトップ\リスト検索結果\HTTP+Search+Results.htm

  • IISのログにはどのような情報が落ちるのですか?追加できますか?

    Windows2000Server IIS5.0 Windows2003Server IIS6.0 を使っています。 特に設定しなくても、IISがログを落としているようなのですが、そのログをメモ帳で開いてみるとIPアドレスや開いたページが表示されているようでした。 これは、どこのIPアドレスの人がどこのページを判断できる情報といってよいのでしょうか? また、IISのログに落とされる内容を手動で 追加させることはできるでしょうか? どなたか教えてください。困ってます。 やりたいことは、アクセスしてきた人を 特定できる情報をIISのログに落としたいのです。

    • ベストアンサー
    • CSS
  • WIN2000 IIS ADSL アクセスログが記録されない!!

    WINDOWS2000サーバでIISを運用しております。SP2をあてています。 ADSL(日本テレコムJDSL)、ダイナミックドメインサービスを使用中です。 問題は、WEBサーバのアクセスログが記録されずに困っている、という点です。 インターネットサービスマネージャの公開中のWEBサイトのプロパティシートで 「ログ収集を有効にする」にチェックを入れてますが(形式はW3C拡張)、 一日ごとのログが自動的に形成されません。毎日ログをとる設定にして います。アクセスは毎日ありますから(自分や知人が外部から)、ログがない はずはないのです。立ち上げから4ヶ月立ちますが、ログファイル(ex******.log)はたったの4件です。 同じサーバ上のFTPサイトのログは毎日しっかり問題なく取れています。 一体どこを確認すればよろしいでしょうか? ご存知の方、どうかよろしくお願いいたします。 当方、サーバに詳しくありませんが、ドコをドウいじれ、と指示されれば 大体わかります。

  • 不正アクセスログについて

    はじめまして、こんにちは。 最近、個人情報が流出した話をよく聞くので、不正アクセスログを調べようと思ったのですが、どうやって調べたらいいのか恥ずかしながら、わかりません。分かる方がいれば教えてください。 なおWEBサーバーにはApach,Tomcatを導入していて、OSはWindows2000です。 また、開いているポートの調べ方、閉じ方が分かればこちらも教えてください。 よろしくお願いします。

  • IIS FTPサービスのログファイルの分析方法は?

    Windows2000Server標準 IISサービスのFTPを使用しています。 FTPサイトのプロパティを見ると、ログ収集が出来るようになっていてログ形式は「W3C拡張ログファイル形式」を選択しています。 現在の設定では、WINNT\system32\LogFiles\MSFTPSVC1内に日付毎のテキストファイルが保存されています。 日々何アクセスあって、不正アクセスがないか、誰かのアカウントでログインされていないかを効率良くチェックしたいです。 このログを見やすくするフリーソフトなどないでしょうか? または実際に管理されている方、どのように管理したらよいかアドバイスください。

  • IISが応答しなくなる

    お世話になります。 IIS6.0(WindowsServer2003)上でASPアプリケーションを 動かしています。(社内LAN) 設定などの変更もしていないのに、突然 「サーバーがダウンしているかメンテナンス中です(英文)」となり、 アクセス不可になってしまいます。 なお、この表示はIISが表示しているのではなく、Proxyサーバーが 表示しているようです。IISやOSを再起動すると復旧するのですが、 原因を追求するには、何を見たらよいですか? アクセス不可になった日のアクセスログは見てみたのですが、 今ひとつ押さえどころがわかりません。 イベントログを見てみたのですが、時おり、ASPファイルで 予期せぬエラーというのがあるのですが、その程度でIISがとまってしまうのでしょうか? よろしくお願いします。

  • Apacheで特定ファイルへのアクセスログをフィルタ

    Webの状態監視ツールが、公開ディレクトリ上のtest.txtというファイルに定期的にアクセスを繰り返しているのですが、 これによりアクセスログが肥大化しているため、test.txtへのアクセスだけをフィルタしたいと考えています。 IISでは簡単にできることなのですが、Apacheでは可能でしょうか?

  • アクセスログ取得について

    複数ページのアクセスログを取得したいのですが、各ページにCGIの記述をするしか方法はないのでしょうか。今までは自社サーバーでIISのログを取得していたのですが、今回レンタルサーバーへ移行した為取得できなくなりました。方法があれば教えて下さい。

  • 不正アクセスをされているか確認する方法

    自分の家のPCのWindows11Home搭載PCに不正アクセスをされているか確認する方法について質問です。 思いつくことでは、 セキュリティソフトやOSのファイアーウォールのログを有効にしてログを精査する。 wiresharkを使ってパケットを見る。 くらいなのですが、ファイアーウォールのログを見る方法の後、Wiresharkを使うまでの間に何かすることはありますか。 また、不正アクセスをされているか確認するには、どこのIPに通信されているかを見るのがメインにでしょうか。

  • LinuxのAccessログはどこにあるんでしょうか?

    お世話になります。 現在、WindowsとLinuxをイントラネットでつないでて、Sambaを利用してWIndowsからLinuxにアクセスしようとしています。 Windowsからサーバの存在が確認できるところまではいくのですが、それをクリックしてみると、"\\<サーバ名>にアクセスできません。 ~"と表示されてしまいます。 このとき、Linuxのアクセスログを確認したいのですが、/var/logのどのファイルを見ても更新日付が古いので、別の場所にあるのでは?と 思っているのですが、ご存知のかたいないでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する