投稿日:2001年12月21日 作成鷹の巣

No.748 このログって不正アクセスですか?



このログって不正アクセスですか?

No.748 投稿時間:2001年12月21日(Fri) 10:10 投稿者名:ゆうちゃん URL:

最近自宅でサーバーを動かし始めた超初心者です。
実は、固定IPを一つだけ取得してサーバーを動かしているのですが、ログで気になることがあります。
殆どのログが "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.1" 404 218 とでています。
WWWサーバーソフトは中田氏のAN HTTPDを使用しています。OSはWindowsNTです。
このログって不正アクセスですか?どなたか助言いただければ助かります。
よろしくおねがいいたします。


内容が cmd.exe を含む不正アクセスですから、Nimda Wormかその亜種だと言えます。

No.750 投稿時間:2001年12月21日(Fri) 13:54 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 実は、固定IPを一つだけ取得してサーバーを動かしているのですが、ログで気になることがあります。
> 殆どのログが "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.1" 404 218 とでています。
> WWWサーバーソフトは中田氏のAN HTTPDを使用しています。OSはWindowsNTです。


不正アクセスの内容が cmd.exe を含むアクセスですから、Nimda Wormかその亜種だと言えます。
root.exe (バックドアプログラム)へのアクセスログが404エラー(ファイルが存在しない)になっていれば、バックドアはありません。
また、AN HTTPdの場合は、感染の心配もないようです。

404エラー等の状態番号(ステータスコード)の読み方については、
http://sakaguch.com/HTTPlog.html
の表4と5をご参照願います。
404エラーの場合、最後の218は、ファイルサイズではなく、応答伝文の長さを示しています。

Nimda Wormについては、「Nimda Worm」で検索して調べてみて下さい。
手順H.セキュリィテイの確認
http://sakaguch.com/Security.html
の項6のセキュリィテイを取り扱っている自宅サーバーのホームページの表のリンク先もご覧になって下さい。
また、関連箇所として
「AN HTTPD不正アクセスのアクセス元の特定方法。 - 佐助 11/17-21:11 No.509」
http://sakaguch.com/PastBBS/0002/B0000509.html
もご覧願います。


参考になりました。

No.752 投稿時間:2001年12月21日(Fri) 21:16 投稿者名:ゆうちゃん URL:

> > > 実は、固定IPを一つだけ取得してサーバーを動かしているのですが、ログで気になることがあります。
> > > 殆どのログが "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.1" 404 218 とでています。
> > > WWWサーバーソフトは中田氏のAN HTTPDを使用しています。OSはWindowsNTです。
> >
> >
> > 不正アクセスの内容が cmd.exe を含むアクセスですから、Nimda Wormかその亜種だと言えます。
> > root.exe (バックドアプログラム)へのアクセスログが404エラー(ファイルが存在しない)になっていれば、バックドアはありません。
> > また、AN HTTPdの場合は、感染の心配もないようです。
> >
> > 404エラー等の状態番号(ステータスコード)の読み方については、
> > http://sakaguch.com/HTTPlog.html
> > の表4と5をご参照願います。
> > 404エラーの場合、最後の218は、ファイルサイズではなく、応答伝文の長さを示しています。
> >
> > Nimda Wormについては、「Nimda Worm」で検索して調べてみて下さい。
> > 手順H.セキュリィテイの確認
> > http://sakaguch.com/Security.html
> > の項6のセキュリィテイを取り扱っている自宅サーバーのホームページの表のリンク先もご覧になって下さい。
> > また、関連箇所として
> > 「AN HTTPD不正アクセスのアクセス元の特定方法。 - 佐助 11/17-21:11 No.509」
> > http://sakaguch.com/PastBBS/0002/B0000509.html
> > もご覧願います。


大変参考になりました。
ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|