Apacheアクセスログの不正アクセスと対策方法
- 最近、外部から不正?なアクセスと思われるログを確認しました。アクセス内容はポート25の接続試行の失敗であることが推察されます。
- Webminのファイヤーウォール設定を行っても解決しないため、他の対策方法を探しています。これらのアクセスを止める方法を教えてください。
- 問題のアドレスの廃棄を試みましたが、効果がありませんでした。他に効果的な対策方法があれば教えてください。
- ベストアンサー
apacheアクセスログ
最近、二週間ほど前から、外部から不正?なアクセスと思われるログを 確認しました。内容は下記参照 125.224.x.x - - [16/May/2009:09:08:24 +0900] "CONNECT 203.188.x.x:25 HTTP/1.1" 405 315 "-" "- 推察するに、25番ポートを使用して失敗しているようですが、 これらのアクセスを止める方法があれば教えてください。 自身で試したのは、Webminのファイヤーウォールの設定で、該当のアドレスの廃棄を行いましたが、どうもうまくいきません。何か良い方法 があれば教えてください。宜しくお願いいたします。 (xの箇所は、アドレスを割愛しています。)
- tshigeo2000
- お礼率42% (32/76)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
80でも8080でも問題は無いと思います。 ただし、apacheのセキュリティが万全であるかと言えばそうでもありませんので、セキュリティFIXした、バージョンアップは必ず行うようにしてください。
その他の回答 (1)
- singlecat
- ベストアンサー率33% (139/418)
http(port80)を利用して、別のメールサーバ(port25)に接続(CONNECT)を試みて、失敗(405)しようとしているログだと思います。 これは、ApacheでPROXYを使っている場合に"CONNECT"が行える事を利用したものですので、PROXYを使っていない場合は、大丈夫だと思います。
補足
ご回答有難う御座います。失敗している状況理解しました。 参考までに、お伺いしたいのですが、現在80番ポートは使用せずに、 意図的に、8080番ポートを開放していますが、何か問題はありますでしょうか?
関連するQ&A
- apacheのaccess.logについて
最近自宅にてdebianでwebサーバーを公開し始めました。 サイトは昔の部活仲間や友達内だけの小さなサイトです。 当初からapacheのaccess.logのログをみて、 さまざまな国からアクセスがあったことを知って戦々恐々としています。 自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、 sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。 ポートは80番とsshのみ開けています。telnetは消しました。 cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。 これでだいぶ国外からのアクセスが減ったのですが、 まだこのような良くわからないアクセスがaccess.logに残ります。 これらについて教えてください。 ----------------------------- 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-" 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)" ----------------------------- 1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" ----------------------------- 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" ----------------------------- 189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-" 95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-" 91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-" 93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-" 221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25" ----------------------------- 相手のIPまんまですが 一つ目の「74.7.65.34」のアメリカからのアクセスの "\x80w\x01\x03\x01" 403 278 "-" "-" の「\x80w\x01\x03\x01」はいったいなんですか? 二つ目の台湾からのアクセスについてわかることを教えてください。 あと自分は初心者ではっきりとはわからないのですが、 三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、 わかることを教えてください。 四つ目の5つは古いログであまり対策がとられていなかったころのものですが、 「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、 これらは悪意のあるアクセスですか。わかることを教えてください。
- ベストアンサー
- ネットワーク
- 自分と似たIPアドレスからは不正アクセスを受けやすいのですか?
今まで3社のセキュリティソフトを使用したことがありますが、そのファイヤーウォールのログをみていると自分のIPと近いIPからの不正アクセス(ポートスキャンというのですか?)が全体のほぼ9割くらいに達します。近いというのは、もし自分のIPアドレスが111.222.333.444だとすると111.222.***.***のようなIPからのものが多いということです。つまり自分と同じプロバイダー(でない場合もありますが)からは不正アクセスなりポートスキャンを受けやすいということなのでしょうか?
- ベストアンサー
- ネットワーク
- アクセスログのとり方
以前ここで二重ログインや不正アクセスについて相談して、パスワードやアドレスを変更したり、スパイウェア対策ソフトを入れました。でもそれでも変な症状が出るので、不正アクセスされているかチェックしたいので、プロバイダに連絡したら、↓のメールが来ました。マイクロソフトに聞いたら、プロバイダに聞いてください、と言われましたが、ADSLのアクセスログは個人では調べられないのでしょうか?ISDNの時はアクセスログが自分で見られました。 弊社では下記の情報から調査させていただいており、 アクセスログが無い場合は調査することができかねてしまいます。 ・アクセス者のIPアドレス ・アクセス者のアクセス日時(秒までお知らせいただければ幸いです) ・アクセス内容(ポート80番攻撃など) (記録した【セキュリティソフト等の】アクセスログがありましたら、 そちらをお知らせいただければと思います) <書き方の一例> ------------------------------ xx月xx日(x曜日) アクセス時間:xx時xx分xx秒 アクセス元IP:xxx.xxx.xxx.xxx ポート番号:xxxx アクセス先IP:xxx.xxx.xxx.xxx ポート番号:xxxx ------------------------------ なお、アクセスログの取得方法がご不明な場合には、お客様ご利用のソフトメーカー様へご相談いただきますようお願い申し上げます。
- ベストアンサー
- その他(メールサービス・ソフト)
- 不正アクセス?
ウイルスバスター2002を使用し、パーソナルファイヤーウォールを設定しています。 ADSL接続中で、ブラウザ・メールソフト・メッセンジャーなどいずれも一切立ち上げていない状態のときに、ファイヤーウォールが作動したアイコンが表示(タスクバー内)されました。 アクセス履歴を見ると、確かにファイヤーウォールが作動したことが表示されていました。しかも数回にわたって、アクセスしようとしたようです。 あまり詳しくないので恥ずかしいのですが、ブラウザなどを立ち上げていなくてもアクセスできるのでしょうか? また、常時ウイルスバスターを起動しているのですが、不正アクセスに対してはどの程度有効なのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ファイアウオールの設定について
ファイアウオールの設定について質問が御座います. 外向きのWebサーバを立てております. Webサーバは,apacheを使用しております. ■この時,外からのアクセスに対するファイアウオールの設定は, どのポート番号を開けばいいのでしょうか? WebサーバにはHTTPでアクセスします. 1.よって,ポート番号は,80番だけあければいいのでしょうか? 2.それとも,apacheを使用しているので,8080番を 開ければいいのでしょうか? 3.もしくは,80番も8080番も開けなくてはいけないのでしょか? apacheとWebの使用の関係などがよくわからないので 教えて頂けないでしょうか?
- ベストアンサー
- ネットワーク
- ファイヤウォールがブロックする正常なサイトのポート80番からの通信
ポート80番からのアクセスについてお尋ねします。 下記のようなログがファイヤーウォールにザザザーっと大量に記録されます。1秒間に10回くらいの割合で。最初はポート80番を使った不正アクセスと思い、どこからのアクセスなのか調べてみると自分が見に行っている(見た)サイトのIPアドレスで、ちゃんとした企業のHP等です。 また、自分のファイアーウォールがブロックしていると言ってもそのサイト自体は見えているので、要するに不要な通信だと思うのですが原因は何でしょうか? 記録されているのはMacの簡易ファイヤーウォールです。 Macの簡易ファイヤーウォールが何を基準に正常、異常な通信と判断しているのかわからないのですが、この辺りにお詳しい方おられましたら宜しくお願い致します。 Jul 19 00:56:58 ipfw: Stealth Mode connection attempt to TCP ***.***.***.***:49397 from 202.***.244.***:80
- ベストアンサー
- ネットワーク
- apache2のログの分け方について
自宅サーバーでBBSのCGIを動かしています。 VineLinux3.2+Apache2 長すぎるリクエストのログを残さないように LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined とhttpd.confに記入してうまく機能しています。 そのほかに不正なアクセス(主に海外から)をドメインやIPアドレスで 制限しているのですが、ログに403エラーがたくさん残ってしまいます。 上記の方法で"414"の部分を"403"に書き換えても機能せず 大量のログが残ってしまいます。 ログを残さないようにするために何か良い方法はないでしょうか?
- ベストアンサー
- Linux系OS
- ファイヤーウォール機能付じゃないルータに防衛機能はある?
ルータについてですが、 全然扱ったことがないので教えて下さい。 ルータを通すと不正アクセスがないって聞いたんですが、 ファイヤーウォール機能がないものでもそうなんですか? そもそもファイヤーウォール機能がないものが ないのでしょうか? ルータを通すと何故不正アクセスが防げるのか 理屈がさっぱり分かりません。 どういう仕組みでそうなるのか簡単に教えて下さい。
- ベストアンサー
- ネットワーク
- なぜ何度も不正アクセスされちゃうの?
ここのところ、非常に頻繁にアクセスされているようです。ウィルスバスター2002を入れて、こまめにアップデートもしているので、「ファイヤウォール有効」とはログに残っているのですが....。 アナログで繋がっているので、IPアドレスも変動するはずですよね?このPCを狙ってアクセスを試みる事って可能なのでしょうか?あまりに頻繁なので怖くなります。 そうであれば、何をするべきでしょうか? YAHOO BBも検討していますが、検索をかけてみるとルーターも完璧なファイヤウォールにはならないようですね。(電気店では完璧だと言われましたが) 素人なのでよろしくお願いします。
- ベストアンサー
- ネットワーク
- 不正アクセスについて
不正アクセスについて教えて下さい。 McAfeeのファイヤーウォールを使っているのですが、インターネットに接続すると数分ごとに「任意に接続を防ぎました」と表示されます。 ひどい時は、数秒に1度出る始末で快適にインターネットできなくて困っています。 このようなアクセスは、どの程度の頻度であるものなのでしょうか? また、防ぐ(減らす)ような事は出来ますか?
- ベストアンサー
- ネットワーク
お礼
丁寧なご回答有難う御座いました。 8080番ポートでも問題ない事、理解しました。 アクセスログからは、何かを試みようとしているが、 今のところ、影響は出ていないということで一安心しました。 しかし、アドバイス頂いたとおり、こまめにバージョンアップは 行うように致します。 色々と、教えて頂きまして、有難う御座いました。 大変助かりました。