• ベストアンサー

不正アクセス?

こんにちは! 常時接続でLinux のsquidを使用しているのですが、 squidのaccess.logにローカルアドレスでないIP アドレス(自分が使用していない)が残ります。 IPアドレスは毎回異なっていて、 "GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE" みたいな感じでログが残ります。 外部のIPアドレスでsquidは利用出来ない設定にしているのですが、 これって不正アクセスされているのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • rhl
  • ベストアンサー率37% (42/111)
回答No.3

rhlです。 やっぱりそうでしたか。あれはnimdaが感染を広げるためにHTTPリクエスト に不正なコードを含めてアクセスしてきてコマンドを実行しようとしてる 形跡です。 windowsのcmd.exeをフルパスで指定してきてるので当然LINUXには存在しない ディレクトリなので基本的には問題ないです。 気になるのは >外部のIPアドレスでsquidは利用出来ない設定にしているのですが というところですね。 ローカル以外は一切遮断しているということですよね? それはサーバ側でですか?それともルータのフィルタリングも併用されて いるのですか? ルータのNATなどで外部からアクセスできるようにしてあるならば起こり 得ると思いますけどね。 IPアドレスが毎回違うのはいろんな感染サーバからアクセスしてきてるから です。 WEBサーバをたてると分かるかと思いますがnimda、coderedなどのアクセス が非常に多いのが分かると思います。

toshi_1919
質問者

お礼

ありがとうございます。 プロキシでしか利用していなかったので、 squidでの設定でローカルアドレス以外を遮断としか しておらず、パケットフィルタリング(iptables)の inputは全開にしていました。 怖くなりさっそく閉めました。

その他の回答 (2)

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.2

>これがsquidのaccess.logに外部IPアドレスで残ると >いう事はどういう事なのでしょうか? nimdaは、相手のサーバーのOSを特定して攻撃するのではなく、Linuxサーバーに攻撃を仕掛けてnimdaは、 「あーだ、こーだ」やってみたが、結局何も出来ませんでした・・・・と帰っていくはずです。 だから、気にしなくてもいいでしょう。 しかし、そのIPアドレスはnimdaに汚染されている可能性が 高いです。 そこで、相手の管理者に教えてあげるくらいはしたら、いいかもしれませんね。 >ウイルス対策はサーバー&クライアントともまめに >やっています。 素晴らしい! これからも継続してください。

toshi_1919
質問者

お礼

ありがとうございます。 安心しました。 自分のサーバーが踏み台になり、第3者を攻撃して いるのかと不安になりました。

  • rhl
  • ベストアンサー率37% (42/111)
回答No.1

>GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE これってあの悪名だかきnimdaが残すログじゃないでしょうか? 確かこんな感じだったような・・・。 この後にも "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 273 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283 "GET /scripts/<中略>/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 こんな感じのが続いてませんか? 違ったらすいません。 違ったらごめんなさい。

toshi_1919
質問者

お礼

ありがとうございます。 まさにそのメッセージです。 これがsquidのaccess.logに外部IPアドレスで残ると いう事はどういう事なのでしょうか? ウイルス対策はサーバー&クライアントともまめに やっています。

関連するQ&A

  • apacheのログでこんなの出たんですけど…

    apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?

  • Apacheに予期せぬアクセスが

    先日、自宅のマシン(OS:Win2k Professional)にApache 1.3.22をインストールしました。 サーバーとしてドメインを取得してる訳でもなく、IPを誰かに教えた訳でもないのですが、 Apacheを起動した状態でネットに繋ぐ(ダイアルアップする)と、外部からアクセスされているようなんです。 下記はその時のアクセスログとエラーログです。 210.**.**.** - - [04/Dec/2001:00:57:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" *** *** [Tue Dec 04 00:57:25 2001] [error] [client 210.**.**.**] File does not exist: c:/program files/apache group/apache/htdocs/scripts/root.exe この他にもcmd.exeを探しているようなものなど複数のアクセスがログに残ってました。 Apacheを起動しているだけで、外部から見付けられてしまう事ってあるのでしょうか? またはウィルスによって情報が流出しているのでしょうか? なぜ外部からアクセスされたのかわかりません。よい対策がありましたら教えて下さい。宜しくお願いします。

  • これって不正アクセス?

    先日自分のブログにアクセス解析をつけたのですが、 ログを確認すると、私がブログを見るのと全く同じ時間に、自分のIPアドレスとは別にもう一つのIPからのアクセスがあるんです。 これって不正アクセスなんでしょうか・・・?(p>□<q;)) ちなみに英語圏からのアクセスのようなんです;; 怖いので対処したいんですが、どうすれば良いでしょうか?

  • 不正なアクセスらしいんですが意味が分かりません

    サーバーのアクセスログに以下のようなものがあります。 220.166.32.133 - - [31/Jan/2005:22:33:57 +0900] "GET http://www.microsoft.com/ HTTP/1.1" 200 30613 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)" "-" 221.200.62.75 - - [04/Mar/2005:08:08:29 +0900] "CONNECT 64.12.137.249:25 HTTP/1.1" 200 315 "-" "-" "-" 221.200.62.75 - - [04/Mar/2005:08:08:54 +0900] "GET http://www.ebay.com/ HTTP/1.1" 200 32606 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)" "-" どちらも中国のホストからのアクセスで、最近増えている不正アクセスだと思います。 ここで疑問なのは、microsoft.comやebay.comと表示されている部分です。(これはこちらのサーバーに対するリクエストを示していると思うんですが) 他の通常のアクセスでは、 provider.ne.jp - - [日時] "GET /filename.gif HTTP/1.1" 200 471 "http:// mydomain/dirname/filename.html" "useragentname" "-"となっています。 存在しないmicrosoft.comやebay.comを要求されたら、エラーログにFile does not existなどと記録されるのではないのでしょうか?(該当日時にエラーは記録されていません) そもそもこれは不正アクセスでしょうか? 要領を得ない質問ですが、どなたか教えて下さい。

  • 不正アクセスについて

    不正アクセスされるとどうなるんですか? データの破壊などですか. 不正アクセスされたかどうかはどうやって分かるのですか? また、不正アクセスを防げためにルーターを通しておけば 大丈夫ですか?ルーターがなければIPアドレスを入れたら 不正アクセスされるんでしょうか.

  • 自分と似たIPアドレスからは不正アクセスを受けやすいのですか?

    今まで3社のセキュリティソフトを使用したことがありますが、そのファイヤーウォールのログをみていると自分のIPと近いIPからの不正アクセス(ポートスキャンというのですか?)が全体のほぼ9割くらいに達します。近いというのは、もし自分のIPアドレスが111.222.333.444だとすると111.222.***.***のようなIPからのものが多いということです。つまり自分と同じプロバイダー(でない場合もありますが)からは不正アクセスなりポートスキャンを受けやすいということなのでしょうか?

  • 不正アクセス

    パソコンがよく不自然にフリーズするようになりました。 心当たりもあるしおそらく不正アクセスによる攻撃ではないかと思うのですが 特定のパソコンを狙ってそのようなことをするのは 狩野なんでしょうか? IPなどがわからなければ無理なんでしょうか? またそのような不正なアクセスと、どのようなアクセスであったか などのログを取れるソフトなどあるでしょうか?

  • 不正アクセスでしょうか?(RIPpacketとは?)

    お世話になります。 バッファローのルータを使い、パソコンにウイルスバスター2005を入れてインターネットに接続しています。 ルータのアタックブロックのログに、RIP packet <WAN in>と表示されIPアドレスが『二つ』表示され、片一方からもう片一方へ不正アクセスが行われているという感じに表示されています。 確認くんというサイトで自分のIPアドレスを調べるとこの『二つ』のIPアドレスとは違っているのです。 ルータが不正アクセスをアタックブロック機能でブロックしたという事なのに、自分のアドレスでないというのはどういうことなのでしょうか? yahooBBのADSLでXPです。 ウイルスバスターのパーソナルファイアウォールログにはAB Rceiverというアプリケーションでルータからログがたくさん残っていますがこれはルータがパソコンに不正アクセスを検出したいことを通知しているのをウイルスバスターがブロックしているのかな?と思うのですが・・・ ご存知の方教えてくださいませんでしょうか? よろしくお願いいたします。

  • 不正アクセスを受け困っています

    パーソナルファイアーウォールが、毎日不正アクセスを感知します。ログを見たところ、ほぼ毎日同じIPアドレスが記録されていますし、他にも月に平均して100ぐらいログに記録されています。常連のIPアドレスを検索してみたところ(geektools.comで)、"hotmail"となっていました。これはどういうことなんでしょう?過去の同様な質問を読むと、ログに残るものは侵入に失敗したものとのことですが、毎日同じIPというのはどういうこと?2ヶ月以上続いていますが、個人を特定したい場合の照会先、または相談先は?スパイウェアも7個ほど検知しました。パソコンの中身を見られているかも、という不安と不快感を一日も早く無くしたいです。どなたか早急なご回答をよろしく、よろしくお願い致します。

  • ルーターつけても不正アクセスのログあります

    ルーターとウイルスバスターを併用しています。ルーターを使用すると、外部からはルーターより先のパソコンのIPアドレスが見えなくなると説明書に書いてあります。それでも、ウイルスバスターのファイアウォールのログにはプライベートアドレス宛のログが残ります。そもそも、ルーターをつけたらファイアウォールソフトの不正アクセスログは無くなるものではないのですか?ルーターとファイアウォールソフト一緒に使っている方がいれば教えて下さい。