投稿日:2002年01月06日 作成鷹の巣

No.939 エラーログ教えて下さい



エラーログ教えて下さい

No.939 投稿時間:2002年01月06日(Sun) 17:02 投稿者名:digitalo URL:

サーバー稼動中にアクセスがあり、下記のエラーログが記録されました。
一行目は自分のテスト結果です。

Sun Jan 06 14:30:08 2002 AN HTTPD 1.37d Ready.
Sun Jan 06 14:30:09 2002 CGI debug console hidden successfully after a retry
Sun Jan 06 16:39:44 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/root.exe"
Sun Jan 06 16:39:53 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/MSADC/root.exe"
Sun Jan 06 16:40:02 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/c/winnt/system32/cmd.exe"
Sun Jan 06 16:40:11 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/d/winnt/system32/cmd.exe"
Sun Jan 06 16:40:19 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..%5c../winnt/system32/cmd.exe"
Sun Jan 06 16:40:28 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe"
Sun Jan 06 16:40:37 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe"
Sun Jan 06 16:40:46 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe"
Sun Jan 06 16:40:54 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..チ../winnt/system32/cmd.exe"
Sun Jan 06 16:41:03 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/sc"
Sun Jan 06 16:41:12 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..?../winnt/system32/cmd.exe"
Sun Jan 06 16:41:21 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..?../winnt/system32/cmd.exe"
Sun Jan 06 16:41:30 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..5c../winnt/system32/cmd.exe"
Sun Jan 06 16:41:39 2002 Error Response 404 Thread 0(ID= 1120) to 61.145.114.66 for "/scripts/..5c../winnt/system32/cmd.exe"
Sun Jan 06 16:41:48 2002 Error Response 404 Thread 0(ID= 1000) to 61.145.114.66 for "/scripts/..%5c../winnt/system32/cmd.exe"
Sun Jan 06 16:41:57 2002 Error Response 404 Thread 0(ID= 712) to 61.145.114.66 for "/scripts/..%2f../winnt/system32/cmd.exe"


不正アクセスですね。

No.945 投稿時間:2002年01月07日(Mon) 21:58 投稿者名:鷹の巣 URL:http://sakaguch.com

> サーバー稼動中にアクセスがあり、下記のエラーログが記録されました。

こちらの「AN HTTPD不正アクセスのアクセス元の特定方法。」No.509のスレッド
http://sakaguch.com/PastBBS/0002/B0000509.html
をご覧頂けますでしょうか。

宜しく、お願いします。


怖いですね

No.960 投稿時間:2002年01月08日(Tue) 17:39 投稿者名:digitalo URL:http://www.asmino.com/

そうではないかと思っていたのですが、やはり不正アクセスのようです。その後も次々と別のアドレスから同様のアクセスがありますが、放置しておいて良いものか心配です。開局したばかり、それも接続している限られた時間帯に大量のログが残るのは、ロボットなのでしょうか。思った以上にセキュリティーの問題が大きいので自宅サーバーに自信がなくなりました。


FTPサーバーの不正アクセスを示します。

No.963 投稿時間:2002年01月08日(Tue) 20:14 投稿者名:鷹の巣 URL:http://sakaguch.com

> そうではないかと思っていたのですが、やはり不正アクセスのようです。その後も次々と別のアドレスから同様のアクセスがありますが、放置しておいて良いものか心配です。開局したばかり、それも接続している限られた時間帯に大量のログが残るのは、ロボットなのでしょうか。思った以上にセキュリティーの問題が大きいので自宅サーバーに自信がなくなりました。


概ねクラッキングツールを使ってのグローバルIPアドレスからのアクセスですから、特定して狙われている訳では、ありませんので、ご安心を。
インターネットへサービス(デーモン)動作を行うと必ず不正アクセスがあります。
Webサーバーだけでなく、FTPサーバーを動作させても不正アクセスがあります。
自宅サーバーを行うには、プロバイダと同様のセキュリティ意識が必要です。


以下にFTPサーバーの不正アクセスを示します。設定が正しくないと、クラッキングされます。

下記のログは、Tiny FTP Daemon の PORT モードでの#正常な記録#です。

2002-01-07(月) 02:04 X/LOGINOUT//OK/ vvv.xxx.yyy.zzz から接続要求がありました
2002-01-07(月) 02:04 X/anonymous/USER/OK/ メールアドレスを要求します
2002-01-07(月) 02:04 X/anonymous/PASS/OK/ ログインしました。メールアドレスはxxxxxx@yahoo.co.jpです
2002-01-07(月) 02:04 X/anonymous/XPWD/OK/ 現在のディレクトリ名E:\を送信します
2002-01-07(月) 02:04 X/anonymous/TYPE/OK/ アスキーモードに入ります
2002-01-07(月) 02:04 X/anonymous/PORT/OK/ データリンクをクローズしました
2002-01-07(月) 02:04 X/anonymous/PORT/OK/ アドレスvvv.xxx.yyy.zzz ポート 1242に接続しました
2002-01-07(月) 02:04 X/anonymous/NLST/OK/ ファイル一覧を送信します
2002-01-07(月) 02:04 X/anonymous/NLST/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/TYPE/OK/ アスキーモードに入ります
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ アドレスvvv.xxx.yyy.zzz ポート 1243に接続しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test1.txt(Asc)の送信準備が出来ました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test1.txt(899Bytes)の読み込みが完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test1.txt(899Bytes)の送信が完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/TYPE/OK/ バイナリモードに入ります
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ アドレスvvv.xxx.yyy.zzz ポート 1244に接続しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test2.bmp(Bin)の送信準備が出来ました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test2.bmp(1272Bytes)の読み込みが完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test2.bmp(1272Bytes)の送信が完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/TYPE/OK/ バイナリモードに入ります
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ データリンクをクローズしました
2002-01-07(月) 02:05 X/anonymous/PORT/OK/ アドレスvvv.xxx.yyy.zzz ポート 1245に接続しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test3.bmp(Bin)の送信準備が出来ました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test3.bmp(9522Bytes)の読み込みが完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ E:/test/test3.bmp(9522Bytes)の送信が完了しました
2002-01-07(月) 02:05 X/anonymous/RETR/OK/ データリンクをクローズしました
2002-01-07(月) 02:06 X/anonymous/RETR/OK/ データリンクをクローズしました
2002-01-07(月) 02:06 X/anonymous/RETR/NG/ ユーザーから切断されました


下記のログは、Tiny FTP Daemon の PASV モードでの#不正な記録#です。
(接続して来たIPアドレスは、日本国内の ea-east-XXX-YYY.dsnw.ne.jp で、1分間で接続は切れました。)

2002-01-08(火) 03:16 Y/LOGINOUT//OK/ vvv.xxx.yyy.zzz から接続要求がありました
2002-01-08(火) 03:16 Y/anonymous/USER/OK/ メールアドレスを要求します
2002-01-08(火) 03:16 Y/anonymous/PASS/OK/ ログインしました。メールアドレスはanonymousです
2002-01-08(火) 03:16 Y/anonymous/REST/NG/ ファイル 0は見付かりませんでした
2002-01-08(火) 03:16 Y/anonymous/PASV/OK/ パッシブモードに入ります(vvv.xxx.yyy.zzz port 3361)
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:_vti_pvt/ /24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルE:/test/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルE:/test/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルE:/test/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:public/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:outgoing/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:temp/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:tmp/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/_vti_pvt/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/incoming/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:mailroot/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:ftproot/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/pub/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/public/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:_vti_cnf/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:anonymous/_vti_cnf/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:images/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:cgi-bin/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:usr/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:usr/incoming/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:home/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ファイルC:test345/24046176に対する許可されていない操作です
2002-01-08(火) 03:16 Y/anonymous/MKD/OK/ データリンクをクローズしました
2002-01-08(火) 03:16 Y/anonymous/MKD/NG/ ユーザーから切断されました


Nimdaですね

No.965 投稿時間:2002年01月08日(Tue) 22:51 投稿者名:かつ URL:http://www.kkoba.com/

digitaloさん、こんばんは。
これは、Nimdaですねぇ。

ウィルスは、全世界からきますよ。
http://www.kkoba.com/counter/codered.shtml
http://www.kkoba.com/counter/nimda.shtml

不必要に怖がる必要はないと思います。
技術よりも、こまめにパッチを当てる根気だと思います。

ちなみに、昨年グローバル化を感じたのは以下の2つ。
1)Codered, Nimdaで全世界から攻撃があった。
2)従妹がスウェーデン人と結婚した。


|目次|掲示板|過去ログ目次|▲頁先頭|