攻撃?異常なアクセスが続くサーバへの対応方法
- 質問者のサーバに異常なアクセスが続いており、対処方法を教えてほしい。アクセスは一定間隔であり、異なるIPアドレスからのアクセスだが、すべて同じブラウザとOSである。また、リファラーの取得はできない。サーバの運営に支障はないが、アクセスログが増えるため対応したい。
- 現状、質問者のサーバはApache/1.3.28を利用し、OSはRHL8.0である。
- 質問者が気になっているのは、上記のアクセスが攻撃の一種であるかどうかであり、参考および対処方法を教えてほしい。
- ベストアンサー
これは攻撃でしょうか?
現状 ・異なるIPアドレスより約5分に1度port80へアクセスされる。(数十秒の時もある) ・アクセスしてきているブラウザ・OSはすべて同じ(Win98、IE5.5) ・リファラーの取得は出来ない ・この現象になる前は一日数件のアクセス数のサーバでした。 (ページ自体工事中表示です) ・他のポートには接続してないようである。(netstat結果、ログより) ・HTTP/1.1を利用しているが、0.1%ほどHTTP/1.0を利用 ・IPアドレスは、アメリカの大学から、一般のISPと、色々です。 ・3,4日ほど前よりアクセスが連続している。 サーバ運営自体に大きな支障はないのですが、アクセスログが膨大になってきますし、何かと気持ち悪いものなので、対応したいと思ってます。 現在サーバはApache/1.3.28を利用で、OSはRHL8.0です。 上記の行為は攻撃の一種でしょうか? 参考および、対処方法を教えていただければ幸いです。
- Lio
- お礼率44% (46/103)
- ネットワーク
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
welchia ワームのアクセスらしいです。 http://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.html ここのアドバイスが役に立つと思います。 http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2003.08/msg00033.html
関連するQ&A
- ApacheとTomcat ポート80番について
現在、VPSでマルチドメインで以下の2つサイトを運用しています。 1. PHPによるWordPressサイト 2. Javaによる動的サイト(静的HTML無し) Apache HTTP Server(ポート80)のバーチャルドメインを使用し、2のJavaサイトの場合はAJPでTomcat(ポート8009)へ処理を振り分けています。一般的な連携方法でと思います。 サーバーOSはCentOS5.5、IPアドレスはひとつ、ウェブサーバーにはApache HTTP Server, サーブレットコンテナとしてApache Tomcatを使用しています。root権限保持しています。 質問させていただきたいことは、Apache HTTP ServerおよびApache Tomcatを同時に起動させながらポート80番を1のサイトの場合はApache HTTPが使用、2のサイトの場合はApache Tomcatが使用できるようにする方法はご存知ないでしょうか?ということです。 現在はTomcat単独で運用する場合よりもApache HTTPを経由させるためにJavaのサイトが若干反応が遅く感じます。そもそも静的コンテンツはありませんし、URLの書き換えなども別の手段を用いているため、Apache HTTP Serverを経由する意味はどちらのサイトともブラウザでポート80番へアクセスできるようにする以外ありません。 何かよい方法ご存知ないでしょうか?なお、IPアドレスはひとつ増やしても構いません。
- 締切済み
- Linux系OS
- IPとドメインのどちらでアクセスしたかを判別
Apacheのログ等で、 ウェブサイトに、IPアドレスを指定してアクセスしてきたか、 ドメインを指定してアクセスしてきたかを判別する事は可能でしょうか? すでに運用中のサーバ上で、 IPアドレスを直接入力してアクセスしているユーザが何人いるか調べたいです。
- ベストアンサー
- その他(ITシステム運用・管理)
- $_SERVER['HTTP_REFERER'] について
$_SERVER['HTTP_REFERER'] について質問があります。 この変数は、移動元のページのアドレスが入ると思うのですが、 Flashエレメントのボタンなどで移動すると、何も入りません。 アクセス制限に利用したいと思っているのですが、 何も入らないととても困ります。 何か良い方法はないものでしょうか? よろしくお願いします。
- ベストアンサー
- PHP
- apacheのログにHTTP_USER_AGENTを残すには
apacheのログから携帯からのアクセスを切り分けたいのですが、HTTP_USER_AGENTが分かれば分類できるのですが、今取っているapasheのログにはクライアントのipはあるのですが、HTTP_USER_AGENTがありません。これを残すにはどうすればいいでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- NAT(DNAT)運用の際のアクセスログ
グローバルIPアドレスを1個持つルータから、wwwポートだけを内部のwebサーバに(NAT等の方法で)転送してwebサーバを公開したとします。 この際、内部のwebサーバのアクセスログに記録されるIPアドレスは、アクセスした人のIPアドレスになるでしょうか?それともルータのローカルIPアドレスになるでしょうか? 実装や設定によって変わる可能性がある場合は、どの実装や設定によって変わる可能性があるでしょうか? また、ローカルIPアドレスが記録される場合は、ルータのアクセスログとwebサーバのアクセスログをある程度つきあわせる必要があると思いますが、どのようにして実運用の場ではつきあわせているのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- Apacheのログの種類(WebTrendsによる解析)
こんにちは。 とあるサイトのログ解析をWebTrendsで行うのですが、管理者からアクセスログとリファラーのログが別々のファイルで送られてきました。 ひとつのログファイルでページビューとリファラーの両方が見られると思っていただけに、戸惑っています(関連付けが難しくなりそうで)。Apacheの場合、ログファイルはこのような設定で吐き出されるのでしょうか? なおOSはUNIX(マシンはSun)です。 UNIXやApacheについてほとんど何も知らない初心者のため言ってることがめちゃくちゃかと思いますが、何かアドバイスをお願いします。
- ベストアンサー
- その他(OS)
- Apacheのログに0.0.0.0と記録される
Windows2000 + Apache2.2で運用しております。 Apacheのアクセスログで、combinedで出力させていますが、アクセス元のIPアドレスがすべて「0.0.0.0」と記録されてしまいます。 0.0.0.0 - - [04/Mar/2007:00:16:39 +0900] "GET / HTTP/1.1" 200 164 0.0.0.0 - - [04/Mar/2007:00:16:40 +0900] "GET /favicon.ico HTTP/1.1" 403 1113 このような感じです。外部からも内部からもこのように記録されます。 Linuxで構築していた頃はこのようなことはなかったのですが、どなたか対策法などご存じでしたらご教授ください。
- ベストアンサー
- その他(ITシステム運用・管理)
- Apacheでユーザの環境変数をログに残したい
Apacheでサーバを構築しています。アクセスログを取得したいのですが、リバースプロキシを介してアクセスされるので、すべてのクライアントが同じIPアドレスになってしまいます。ブラウザ(?)の環境変数みたいなものを使用して、クライアントのローカルアドレスをログに残すことは可能でしょうか?
- 締切済み
- その他([技術者向] コンピューター)
- 自宅サーバーとルータ
2年ほどまえからサーバーをWindowsで24時間やっていたのですが、このまえバッファローの無線LANを買って来てそのLANポートにパソコンを接続して自分のサーバーにアクセスしたところ、ページを表示できません HTTP404未検出と表示されました。linuxをサーバーにしても同じです。 ルータのアドレス変換などの設定はしたつもりなのですが、何がだめなのでしょうか? ちなみにアドレス変換の設定は次のようにしました。192.168.11.11はサーバーのIPアドレスです。 エアステーションのWAN側IPアドレス HTTP(TCPポート:80) ⇔ 192.168.11.11 HTTP(TCPポート:80) 過去の質問なども調べてみましたが、どれも効果がありませんでした。 中からサーバーのIP(192.168.11.11)を直接指定すればしっかり表示されます。 最初は、ハブで直接つなげばいいと思ったのですが、プロバイダーの契約の関係で1台したつなげなくなっていました。(つい最近までは2台) どうしてもサーバーは続けたい(できればはやく直したい)のでよろしくお願いします。
- 締切済み
- その他(インターネット接続・通信)
- ホストに接続できません
CentOSにSSHサーバを構築し、Windowsクライアントから接続していましたが、ある時点からSSHサーバに接続できなくなりました。 サーバへの接続ツールはTera Termです。 ホストにサーバのIPアドレスを入力し、TCPポートに22を指定し、接続しようとすると、「ホストに接続できません」のメッセージが出力される状態です。 クライアントからサーバに向けてpingは通ります。 サーバで、#tail -f /var/log/secure を実行しログをみても、SSHでアクセスしたログも残っていません。 また、#netstat -ln を実行すると、0.0.0.0:22 が LISTEN 状態になっています。 ルータとして使用している、EMOBILEではポートマッピングの設定で、22番を有効(オープン)にしています。 SSHの接続以外にも、Sambaも接続不可の状態になっています。 (WebDAVでのアクセスは可能。ポート81、443はオープンし、アクセス可能) 原因がクライアントにあるのか、サーバにあるのか不明です。 他に調べられる方法がありましたら、教えてください。
- 締切済み
- その他([技術者向] コンピューター)
