• ベストアンサー

Apache アクセスログ 不審な足跡

Apache 2.0.52 CentOS 4.5 リバースプロキシとして動いています。 access.logを見ていた所、以下のログが残っていました。 options / - - x.x.x.x Microsoft-WebDAV-MiniRedir/5.1.2600 - 200 このログは危険な状態を表しているのでしょうか? ちなみにteslnetで確認すると、 Allow:GET,HEAD,POST,OPTIONS,TRACE と表示される部分がありました。 この表示も危険でしょうか? よろしくお願いします。

  • sql3
  • お礼率100% (3/3)

質問者が選んだベストアンサー

  • ベストアンサー
  • vaio09
  • ベストアンサー率37% (756/2018)
回答No.1

WebDAV云々と出のは、Windows XPから搭載されているWebClientサービスによるものなので無視しましょう。もちろん悪意あるアクセスではありません、ただのゴミです。 LAN内に悪意あるホストがなければ今のままでも良いでしょうが、できればサーバ情報は隠匿した方がいいですね。

sql3
質問者

お礼

お返事遅れてしまって申し訳ありませんです。 悪意あるアクセスでなくてほっとしました。 まだまだ勉強不足のため、迷惑を掛けますが、 その時はまたよろしくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • access.logのリクエスト行について

    mod_proxyのリバースプロキシサーバです。 apacheのアクセスログを見ていたら、 『GET http://xxxxxx.com/test/headers.aspx HTTP/1.0 』 とありました。 普通はGETの後にスラッシュが入るはずなのにスラッシュが付いていません。 コレはどういった意味なのでしょうか? 危険な意味なのでしょうか?

  • Apacheでユーザの環境変数をログに残したい

    Apacheでサーバを構築しています。アクセスログを取得したいのですが、リバースプロキシを介してアクセスされるので、すべてのクライアントが同じIPアドレスになってしまいます。ブラウザ(?)の環境変数みたいなものを使用して、クライアントのローカルアドレスをログに残すことは可能でしょうか?

  • apacheのアクセスログについて

    Webサーバを運営しています。 昨日の15時頃から、apacheのaccess.logに、IPアドレスだけでなく、DNSで逆引きしたホスト名が出力されるようになりました。しかも、同じIPからなのに、IPアドレスだったりホスト名だったり、という混在状態です。 120.nnn.nnn.nnn - - [08/Oct/2013:13:51:46 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:51:47 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) 120.nnn.nnn.nnn - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:30 0900] "GET /(以下略) xxxx.yyyy.zzz.ne.jp - - [08/Oct/2013:13:52:31 0900] "GET /(以下略) このような感じです。上記のログの120.nnn.nnn.nnn(IPアドレス)とxxxx.yyyy.zzz.ne.jp(ホスト名)は、同一のものです。 昨日の15時頃というと、アクセス拒否したいネットをdeny from に追加していたくらいで、他には何もいじっていません。(各コンフィギュレーションファイルのタイムスタンプでも確認しました。) HostnameLookupsはOffになっています。 ログを出力するたびにDNSの逆引きをしていると、OSに負荷がかかるのかと危惧しています。また、IPアドレスでログをgrepするときにも支障が出るので困っています。 何か原因に心当たりのある方がいらっしゃれば、教えていただけないでしょうか。 よろしくお願いします。 OS  Ubuntu 12.04.3 LTS  Linux www 3.2.0-54-generic #82-Ubuntu SMP Tue Sep 10 20:08:42 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux Apacheのバージョン:  Server version: Apache/2.2.22 (Ubuntu)  Server built: Jul 12 2013 13:37:10

  • apachの リバースプロキシについて

    WEBの知識がなく、分かりにくい表現になるかと思いますが、よろしくお願いします。アパッチのリバースプロキシを使用して、HttpsのURLを呼びだしPOSTデータを引き渡したいと考え、動作検証を行ったのですが、POSTのデータを受け取ることができませんでした。GETで送られた、データは受け取ることができました。 アパッチのリバースプロキシでは、POSTのデータを受け取ることはできないのでしょうか。   可能の場合は、どのようにすればできるのでしょうか。 また、実現不可の場合は、リバースプロキシ、POST通信、SSLによる暗号化通信の要件を満たせる実装方法をご教示頂きたく。 よろしくお願い致します。

  • Apache access.log ちょっと不安

    こんにちは、 自宅サーバの勉強のため、Apache 1.3をインストールしています。 環境: OS:WindowsXP SP1 ルータ:WLAR-L11-L / WLAR-L11G-L Ver.1.30 プロバイダー:YAHOO BB ADSL 無料ダイナミックDNSを設定して、自分のURLを取得しています。 Apacheのaccess.logをみると、 219.156.179.27 - - [04/May/2003:23:43:03 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX やら、 219.250.73.214 - - [05/May/2003:00:15:25 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 のようなものがあり、外部から進入があったのかなと不安になります。 上記、ログが何なのかお分かりの方がいましたら教えてください。 また、ログの見方などの参考URLがお分かりの方がいましたらあわせて教えてください。 よろしくお願いします。

  • Apache リバースプロキシについて

    現在、vmware-serverにてWEBサーバを構築中なのですが「リバースプロキシ」の設定を下記のようにすると[warn]のエラーが出てしまいます。何かいい設定方法は無いでしょうか? *環境* ・CentOS release 5.3 (Final)  Kernel 2.6.18-92.el5 on an i686 ・httpd-2.2.3-22.el5.centos.2 ---------------"httpd.conf"の設定内容-------------------- <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass /test http://192.168.10.1 ProxyPassReverse /test http://192.168.10.1 ProxyPass /news http://192.168.10.1/news ProxyPassReverse /news http://192.168.10.1/news ---------------------------------------------------------------- 上記のように設定したのですが,confをチェックする際 [warn] worker http://192.168.10.1/ already used by another worker Syntax OK というようになります。 エラーを読むに、192.168.10.1のアドレスは使われています?という事だと思うのですが・・・。因みに同リバースプロキシーconfで、ver1.3のApacheはエラー無く「OK!」でした。 どうしてなんでしょう?? またどのように設定できれば解消できますか? 宜しくお願い致します。

  • apache リバースプロキシ

    毎度お世話になってます。 タイトルの通りapacheのリバースプロキシの設定で悩んでおります。 単純なリバースプロキシは問題なく動くのですが、 例えば、 ドメインA:back.com ドメインB:revers.com があるとして、 back.com/ppp/の中身を URL:http://revers.com/ で表示させたいのですが、 ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / http://back.com/ppp ProxyPassReverse / http://revers.com/ 上記では、転送されてURLがhttp://back.comになってしまします。 どなたか詳しい方、もしくは実装されたことがある方いらっしゃいましたら教えてください。。 よろしくお願いします!

  • Apacheの.htaccessにおけるルート

    apacheの学習中です。 Apacheで、ユーザーディレクトリを有効にしました。 ユーザーディレクトリ内で、 <a href="/">トップページへ</a> とすると、きちんと各ユーザーディレクトリのトップページへいくことを確認しました。 しかし、.htaccess内で ErrorDocument 404 /error/file_not_found.html とし、エラードキュメントを変更しようとすると、エラーページが正しく表示されませんでした。ログを見ると、以下のようになっていました。 File does not exist: /var/www/error/file_not_found.html どうやら、htaccessにおいてのルートディレクトリ指定が、各ユーザー個別のルートディレクトリになっていないようです。htaccessの/を各ユーザーのルートディレクトリに指定するには、どのように設定すればよいでしょうか? 現在、ユーザーディレクトリは以下のように設定しています。すいません。学習中なので、設定におかしなところがあるかもしれません。 <Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Indexes Limit Options MultiViews FollowSymLinks IncludesNoExec <Limit GET POST OPTIONS> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTIONS> Order deny,allow Deny from all </LimitExcept> </Directory> 原因が分かる方がいらっしゃれば、ご指摘くださると嬉しいです。 よろしくお願いいたします。

  • Fedora Apache ユーザディレクトリの設定 /をつけないと表示されない!

    Fedora CoreのApacheでユーザディレクトリのコンテンツを公開するため、下記のように設定しました。 <IfModule mod_userdir.c> UserDir public_html </IfModule> <Directory /home/*/public_html> AllowOverride All Options IncludesNoExec ExecCGI FollowSymLinks <Limit GET POST OPTIONS> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTIONS> Order deny,allow Deny from all </LimitExcept> </Directory> で、ばっちり見れるようになったんですが、下記のような問題が残っています。 http://ホストアドレス/~ユーザ名/ では正常に表示されるが、 http://ホストアドレス/~ユーザ名 のようにスラッシュを省略すると、表示されない。 ご存知の方おられましたらよろしくお願いしますー!

  • apacheのaccess.logについて

    最近自宅にてdebianでwebサーバーを公開し始めました。 サイトは昔の部活仲間や友達内だけの小さなサイトです。 当初からapacheのaccess.logのログをみて、 さまざまな国からアクセスがあったことを知って戦々恐々としています。 自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、 sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。 ポートは80番とsshのみ開けています。telnetは消しました。 cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。 これでだいぶ国外からのアクセスが減ったのですが、 まだこのような良くわからないアクセスがaccess.logに残ります。 これらについて教えてください。 ----------------------------- 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-" 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)" ----------------------------- 1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" ----------------------------- 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" ----------------------------- 189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-" 95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-" 91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-" 93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-" 221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25" ----------------------------- 相手のIPまんまですが 一つ目の「74.7.65.34」のアメリカからのアクセスの "\x80w\x01\x03\x01" 403 278 "-" "-" の「\x80w\x01\x03\x01」はいったいなんですか? 二つ目の台湾からのアクセスについてわかることを教えてください。 あと自分は初心者ではっきりとはわからないのですが、 三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、 わかることを教えてください。 四つ目の5つは古いログであまり対策がとられていなかったころのものですが、 「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、 これらは悪意のあるアクセスですか。わかることを教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する