投稿日:2001年11月17日 作成鷹の巣

No.509 AN HTTPD不正アクセスのアクセス元の特定方法。



AN HTTPD不正アクセスのアクセス元の特定方法。

No.509 投稿時間:2001年11月17日(Sat) 21:11 投稿者名:佐助 URL:

お世話になります。
AN HTTPDのログを見ていたら、不正アクセスのようなものを
発見しました。アクセス元が211.250.yyy.zzzなどと
IPアドレスなのですが、これを特定する方法を教えてください。


不正アクセス対策でIPアドレスを特定する方法。

No.511 投稿時間:2001年11月18日(Sun) 01:24 投稿者名:鷹の巣 URL:http://sakaguch.com/

> お世話になります。
> AN HTTPDのログを見ていたら、不正アクセスのようなものを
> 発見しました。アクセス元が211.250.yyy.zzzなどと
> IPアドレスなのですが、これを特定する方法を教えてください。

windows 2000でしたら、コマンドプロンプト画面(DOS窓のようなもの)で、
nslookup 211.250.yyy.zzz
と入力すれば、逆引きされ、どこのプロバイダかが特定できます。
(結果は、Non-existent domainと出ますが)

面倒であれば、AN HTTPDの「オプション一般」画面の「一般」タブで、
リモートホストを取得で「常時」を選択していれば、逆引きされた名前でログが記録されます。

非固定IPアドレスの場合が多いので、不正アクセスを受けていた時間とIPアドレスを明示して、
プロバイダに問い合わせることになります。


nslookup での逆引き結果が、Non-existent domainと出ましたので、
http://211.250.yyy.zzz/
としたところ、韓国語のホームページが出てきました。
下記のサイト
http://uptime.netcraft.com/up/graph
より、IPアドレスを入力しますと、
The site 211.250.yyy.zzz is running Microsoft-IIS/5.0 on windows 2000.
と出てきました。

不正アクセスとは、どのような種類のアクセスでしょうか?


Re: 不正アクセス対策でIPアドレスを特定する方法。

No.512 投稿時間:2001年11月18日(Sun) 03:02 投稿者名:かつ URL:http://www.kkoba.com/

鷹の巣さん、こんにちは。

> http://uptime.netcraft.com/up/graph
> The site 211.250.yyy.zzz is running Microsoft-IIS/5.0 on windows 2000.
これ、面白いですね。
早速ブックマークに入れました。

ところで本題の、211.250.yyy.zzzですが、
whois -h whois.nic.or.kr 211.250.yyy.zzz
の結果、ソウルの学校でした。
IP Address : 211.250.yyy.xxx-211.250.yyy.xxx+127
Org Name : seoul xxx school

不正アクセスの内容、私も知りたいです。


Re^2: 不正アクセス対策でIPアドレスを特定する方法。

No.513 投稿時間:2001年11月18日(Sun) 12:18 投稿者名:佐助 URL:

> ところで本題の、211.250.yyy.zzzですが、
> whois -h whois.nic.or.kr 211.250.yyy.zzz
> の結果、ソウル外国語高校?でした。
> IP Address : 211.250.yyy.xxx-211.250.yyy.xxx+127
> Org Name : seoul xxx school
>
> 不正アクセスの内容、私も知りたいです。

かつさんのホームページを参考にすると、Nimdaウィルスなのかな?
これは、どうしたら良いんでしょうか? うちはNTじゃないけど。
211.250.yyy.zzz - - [28/Oct/2001:21:56:40 +0900] "GET
/scripts/root.exe?/c+dir HTTP/1.1" 404 247
211.250.yyy.zzz - - [28/Oct/2001:21:56:40 +0900] "GET /MSADC/root.exe?/c+dir
HTTP/1.1" 404 240
211.250.yyy.zzz - - [28/Oct/2001:21:56:40 +0900] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.1" 404 250
211.250.yyy.zzz - - [28/Oct/2001:21:56:44 +0900] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.1" 404 250
211.250.yyy.zzz - - [28/Oct/2001:21:56:44 +0900] "GET
/scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:44 +0900] "GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:44 +0900] "GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:45 +0900] "GET
/msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe
HTTP/1.0" 400 209
211.250.yyy.zzz - - [28/Oct/2001:21:56:45 +0900] "GET /scripts/..チ
../winnt/system32/cmd.exe HTTP/1.0" 400 209
211.250.yyy.zzz - - [28/Oct/2001:21:56:45 +0900] "GET /sc?/c+dir HTTP/1.1"
404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:46 +0900] "GET
/scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 209
211.250.yyy.zzz - - [28/Oct/2001:21:56:46 +0900] "GET
/scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 209
211.250.yyy.zzz - - [28/Oct/2001:21:56:46 +0900] "GET
/scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:46 +0900] "GET
/scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:47 +0900] "GET
/scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
211.250.yyy.zzz - - [28/Oct/2001:21:56:47 +0900] "GET
/scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 218


Re^2: 不正アクセス対策でIPアドレスを特定する方法。

No.514 投稿時間:2001年11月18日(Sun) 13:26 投稿者名:コンターイ URL:

「IPドメインSEARCH」で調べられますね。

http://www.mse.co.jp/ip_domain/

> ところで本題の、211.250.yyy.zzzですが、
> whois -h whois.nic.or.kr 211.250.yyy.zzz
> の結果、ソウルの学校でした。


IPアドレスの特定する方法のまとめ

No.516 投稿時間:2001年11月18日(Sun) 18:13 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 「IPドメインSEARCH」で調べられますね。
>
> http://www.mse.co.jp/ip_domain/
>
> > ところで本題の、211.250.yyy.zzzですが、
> > whois -h whois.nic.or.kr 211.250.yyy.zzz
> > の結果、ソウルの学校でした。

かつさん、コンターイさん、ご回答頂きどうもありがとうございました。
佐助さんの不正アクセスの内容が root.exe と cmd.exe を含むアクセスですから、
Nimda Wormだと言えます。
root.exe (バックドアプログラム)へのアクセスログが404エラー(ファイルが存在しない)に
なっていることから、バックドアはありません。また、その他のアクセスも
400番台であることから、
AN HTTPdの場合は、感染の心配もないようです。
状態番号(ステータスコード)の読み方については、
http://sakaguch.com/HTTPlog.html
の表4と5をご参照願います。


さて、本題に戻りまして、「IPアドレスの特定する方法を教えてください。」ということの#まとめ#ですが、windowsの場合、
1.IPドメインSEARCHで調べる。
http://www.mse.co.jp/ip_domain/
「一日の検索回数は1ホストあたり最大で10回程度 に制限。」
ということですから、これを超える場合や混んでいてアクセス出来ない場合は、

2.日本国内であれば、「JPNIC Whois Gateway」
http://whois.nic.ad.jp/cgi-bin/whois_gw
これで、出ない場合は、海外からのアクセスだということになって、

3.Welcome to uwhois.com
http://www.uwhois.com/cgi/whois.cgi

で調べるという手順で調べていけば、独自ドメイン名を固定IPアドレスで
運用しているところが特定出来ます。

上記の方法で、IPアドレスが特定できない場合は、
非固定IPアドレスで運用している場合が多く、不正アクセスを受けていた時間とIPアドレスを明示して、
プロバイダに問い合わせることになります。

nslookup での逆引き結果が、Non-existent domainと出ましたので、
http://211.250.yyy.zzz/
としたところ、韓国語のホームページが出てきました。
下記のサイト
http://uptime.netcraft.com/up/graph
より、IPアドレスを入力しますと、
The site 211.250.yyy.zzz is running Microsoft-IIS/5.0 on windows 2000.
と出てきました。

という結果も出てきましたので、不正アクセスの犠牲者からの不正アクセスな訳で、悪意はありませんので、
苦情を申し立てるのでしたら、注意を喚起する程度の内容にされることを推奨します。


Re: IPアドレスの特定する方法のまとめ

No.518 投稿時間:2001年11月18日(Sun) 22:09 投稿者名:佐助 URL:

鷹の巣 様
かつ 様
コンターイ様

いろいろ調べていただいて、ありがとうございました。
ということは、心配しなくて良いのですね。
ちなみに、WIN2000で運用しても問題はないのでしょうか。
NTサーバーが一番ヤバイってことなんでしょうか?

> という結果も出てきましたので、不正アクセスの犠牲者からの不正アクセスな訳で、悪意はありませんので、
> 苦情を申し立てるのでしたら、注意を喚起する程度の内容にされることを推奨します。


ブラウザも感染しますので注意して下さいね。

No.519 投稿時間:2001年11月18日(Sun) 23:21 投稿者名:鷹の巣 URL:http://sakaguch.com/

> いろいろ調べていただいて、ありがとうございました。
> ということは、心配しなくて良いのですね。

感染されていないようですね。

> ちなみに、WIN2000で運用しても問題はないのでしょうか。
> NTサーバーが一番ヤバイってことなんでしょうか?

WebサーバーがMicrosoft-IIS/5.0であれば、早急にセキュリティパッチ(windows update)を当てる必要があります。
windowsでAN HTTPdを利用されておれば、運用しても問題はないでしょう。

但し、Webサーバーを立てられていなくてもブラウザも感染しますので、こちらも
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp#d
ご一読願います。
また、メールで、readme.exeやsample.exe等の添付ファイルが送られてくることもありますので、注意して下さいね。


|目次|掲示板|過去ログ目次|▲頁先頭|