投稿日:2002年03月18日 作成鷹の巣

No.1891 どうしてこんなログが残るのか?



どうしてこんなログが残るのか?

No.1891 投稿時間:2002年03月18日(Mon) 03:16 投稿者名:ryujin URL:

Apacheのアクセスログにchina一件と有ったので
探してみると下記ログが、ぽつんと一件有るのです。
mw-texttile.xanet.edu.cn - - [16/Mar/2002:19:51:54 +0900] "GET http://www.intel.com/
HTTP/1.1" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"

試しにwin2kのtelnet(TeraTermPro)で、「telnet ローカル自サーバー名 ポート番号」にて
GET http://www.intel.com/と入力してみると、
・別なtelnetのウインドウが開く
・apacheのaccess_logには、下記ログが残りました。
ローカル自サーバー名 - - [18/Mar/2002:01:57:13 +0900] "GET http://www.intel.com/" 200 8636 "-" "-"
Chinaの上記ログはどう解釈すべきログなのか?分かりません。


どうしてこんなログが残るのでしょうね。

No.1894 投稿時間:2002年03月18日(Mon) 08:26 投稿者名:鷹の巣 URL:http://sakaguch.com/

> Apacheのアクセスログにchina一件と有ったので
> 探してみると下記ログが、ぽつんと一件有るのです。
> mw-texttile.xanet.edu.cn - - [16/Mar/2002:19:51:54 +0900] "GET http://www.intel.com/
> HTTP/1.1" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"

http://www.intel.com/」の部分は、通常、自宅WWWサーバーのドキュメントルートからのファイル表示になりますよね。

telnetのポート23番をルータで閉めている場合で、

1.GETメソッドが200で成功となっていますので、自サイト内に8636バイトのファイルが存在しますか。
2.もし、存在するようであれば、パフォーマンスを上げる為、Keep-AliveまわりのApacheの不具合で、ログを書き損なっている可能性もあります。
Referer page(アクセス元Webページのhttp://www.intel.com/)でryujinさんのホームページのURLを入力しますと、
"-" が "http://www.intel.com/"になりますが、ログの複数行文が間違って1行に書かれると、こういうログも出来るかもしれません。
3.クラッカーがログをいたずらしたとも考えられますが、だとしたら、愉快犯ですね。


> 試しにwin2kのtelnet(TeraTermPro)で、「telnet ローカル自サーバー名 ポート番号」にて
> GET http://www.intel.com/と入力してみると、
> ・別なtelnetのウインドウが開く
> ・apacheのaccess_logには、下記ログが残りました。
> ローカル自サーバー名 - - [18/Mar/2002:01:57:13 +0900] "GET http://www.intel.com/" 200 8636 "-" "-"


telnetのポート23番をルータで開けている場合で、mw-texttile.xanet.edu.cnから接続されている場合は、User agent(ブラウザの種類等)が
ログに残っていますが、可能性がないとも言い切れません。


> Chinaの上記ログはどう解釈すべきログなのか?分かりません。


http://mm.apache.or.jp/pipermail/newbie/2001-August/001183.html
をご参考にして、
SetEnvIf Request_URI http:// XXXX
で、別ログに常時書いてチェックを怠らないことだと考えます。とりあえず、telnetのポート23番をルータで閉めて、過去のログを全てチェックして下さい。


#時間がないので、かなり憶測で乱暴に書いています。


プロキシは

No.1896 投稿時間:2002年03月18日(Mon) 09:06 投稿者名:OAK URL:

このようなログが残る原因として外部からのプロキシが有効になっている場合が
あると聞いています。

この辺詳しくないので、まとをはずしていたらごめんなさい


探ってみます

No.1900 投稿時間:2002年03月18日(Mon) 15:08 投稿者名:ryujin URL:http://tug.webhop.info

どんなコメントでもありがたいです。
そのへんも色々探って見ます。


多段にできるのを忘れていました。

No.1903 投稿時間:2002年03月18日(Mon) 16:53 投稿者名:鷹の巣 URL:http://sakaguch.com/

> どんなコメントでもありがたいです。


OAKさん、ヒントありがとうございます。プロキシサーバーがDelegateでしたら、多段にできるのを忘れていました。
ryujinさんのサイトのポート8888番がポートスキャンによって検出され、プロキシサーバーが存在すると仮定して、下記の様に接続して見ました。
http://tug.homeunix.com:8888/-_-http://example.com/
結果は、8636バイトのホームページ(=トップページ=index.html)にリダイレクトされました。
しかし、リダイレクトされたので、ステータスコードは、200ではなく、3XX番(404ファイルなしかも)になっている筈です。

午前10時ぐらいに下記の様なログが残っていませんか。
kddnc1.asahi-net.or.jp - - [16/Mar/2002:10:00:00 +0900] "GET http://example.com/ HTTP/1.1"
3XX 8636 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"


変なアクセス
http://www4.wisnet.ne.jp/~tdot/tubo.htm
も覗きましたが、同じ様なログがうまく作れません。


# WWWサーバーのHTTP ログファイルの読み方( http://sakaguch.com/HTTPlog.html )に今回の結果を追記させて下さいね。


その時間前後のログは

No.1904 投稿時間:2002年03月18日(Mon) 17:40 投稿者名:ryujin URL:http://tug.webhop.info

色々ありがとうございます。
>午前10時ぐらいに下記の様なログが残っていませんか。
その時間前後のログは以下のように記録されています。
2*2.2*6.***.*32 - - [18/Mar/2002:09:15:08 +0900] "GET /cgi-bin/Count.cgi?df=InfoPh
ysics.dat HTTP/1.1" 200 0 "http://web.bbco.ne.jp/~ryujin/index.html" "Mozilla/4.
0 (compatible; MSIE 5.5; Windows NT 5.0; T312461)"
k*****.a***i-net.or.jp - - [18/Mar/2002:09:48:55 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k*****.a***i-net.or.jp - - [18/Mar/2002:09:49:00 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
j0****2.ppp.a***i-net.or.jp - - [18/Mar/2002:11:42:45 +0900] "GET /cgi-bin/lime/
lime.cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.1" 200
55 "http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windo
ws NT 5.0; Q312461)"

> # WWWサーバーのHTTP ログファイルの読み方( http://sakaguch.com/HTTPlog.html )に今回の結果を追記させて下さいね。
どうぞ!


再度、ログをご教示して頂けませんか。

No.1906 投稿時間:2002年03月18日(Mon) 18:17 投稿者名:鷹の巣 URL:http://sakaguch.com/

> >午前10時ぐらいに下記の様なログが残っていませんか。
> その時間前後のログは以下のように記録されています。

> k*****.a***i-net.or.jp - - [18/Mar/2002:09:48:55 +0900] "GET /cgi-bin/lime/lime.
> cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
> http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
> 5.0)"

> k*****.a***i-net.or.jp - - [18/Mar/2002:09:49:00 +0900] "GET /cgi-bin/Count.cgi?
> df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
> a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"


この二つの上ですね。(下の方は、カウンタですから無視するとして)

18時01分にReferer page(アクセス元Webページ)を抜いて
http://202.213.yy.zz:8888/-_-http://example.com/
で又、アクセスして見ました。再度、ログをご教示して頂けませんか。


> > # WWWサーバーのHTTP ログファイルの読み方( http://sakaguch.com/HTTPlog.html )に今回の結果を追記させて下さいね。
> どうぞ!


ありがとうございます。


18時前後のログです

No.1907 投稿時間:2002年03月18日(Mon) 19:02 投稿者名:ryujin URL:http://tug.webhop.info

> 18時01分にReferer page(アクセス元Webページ)を抜いて
> http://202.213.yy.zz:8888/-_-http://example.com/
> で又、アクセスして見ました。再度、ログをご教示して頂けませんか。
>
k****1.a***i-net.or.jp - - [18/Mar/2002:17:54:10 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:54:10 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:55:00 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:55:00 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:55:36 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:55:36 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:56:21 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:17:56:21 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:18:00:43 +0900] "GET /cgi-bin/lime/lime.
cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:18:00:43 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 4176 "http://tug.homeunix.com:8888/TuG" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

関係有るかどうか分かりませんが
ポート8888は、Swikiサーバーになります。http://tug.homeunix.com:8888/TuG
ポート8000は、Apacheサーバーになります。http://tug.homeunix.com:8000
apacheはcgi用に動かしています。あとはポツントindex.htmlと画像を置いて使用してます。


再度、ログをご教示して頂けませんか。

No.1909 投稿時間:2002年03月18日(Mon) 19:57 投稿者名:鷹の巣 URL:http://sakaguch.com/

> > 18時01分にReferer page(アクセス元Webページ)を抜いて
> > http://202.213.yy.zz:8888/-_-http://example.com/
> > で又、アクセスして見ました。再度、ログをご教示して頂けませんか。


> k****1.a***i-net.or.jp - - [18/Mar/2002:18:00:43 +0900] "GET /cgi-bin/lime/lime.
> cgi?page=99999&name=TuG&hp=http://tug.homeunix.com:8888/TuG/1 HTTP/1.0" 200 43 "
> http://tug.homeunix.com:8888/TuG" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
> 5.0)"


リダイレクト先のログだけが残っている様です。


> 関係有るかどうか分かりませんが
> ポート8888は、Swikiサーバーになります。http://tug.homeunix.com:8888/TuG
> ポート8000は、Apacheサーバーになります。http://tug.homeunix.com:8000



> apacheはcgi用に動かしています。あとはポツントindex.htmlと画像を置いて使用してます。


19時53分に
http://202.213.yy.zz:8000/index.html

http://202.213.yy.zz:8000/index.html-_-http://example.com/ <------ 「ページが見つかりません」となりました。
でアクセスして見ました。再度、ログをご教示して頂けませんか。


遅くなりました、19時53分ログです

No.1912 投稿時間:2002年03月18日(Mon) 22:14 投稿者名:ryujin URL:http://tug.webhop.info

> 19時53分に
> http://202.213.yy.zz:8000/index.html
> http://202.213.yy.zz:8000/index.html-_-http://example.com/ <------ 「ページが見つかりません」となりました。
> でアクセスして見ました。再度、ログをご教示して頂けませんか。
k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:37 +0900] "GET /index.html HTTP/1.
0" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:38 +0900] "GET /cgi-bin/Count.cgi?
df=InfoPhysics.dat HTTP/1.0" 200 9590 "http://202.213.yy.zz:8000/index.html" "Mo
zilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:38 +0900] "GET /hpmaterial/mar2119
98001.jpg HTTP/1.0" 200 9251 "http://202.213.yy.zz:8000/index.html" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.0)"
k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:55 +0900] "GET /index.html-_-http:
//example.com/ HTTP/1.0" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.0)"


GET http://example.com/ HTTP/1.0 になかなか成りませんね。

No.1913 投稿時間:2002年03月18日(Mon) 22:44 投稿者名:鷹の巣 URL:http://sakaguch.com/

> > http://202.213.yy.zz:8000/index.html

のアクセスログが

> k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:38 +0900] "GET /hpmaterial/mar2119
> 98001.jpg HTTP/1.0" 200 9251 "http://202.213.yy.zz:8000/index.html" "Mozilla/4.0
> (compatible; MSIE 6.0; Windows NT 5.0)"

ですね。ポート8000番の方は、ファイルサイズが9251バイトですから、ハズレでした。




> > http://202.213.yy.zz:8000/index.html-_-http://example.com/ <------ 「ページが見つかりません」となりました。

のアクセスログが

> k****1.a***i-net.or.jp - - [18/Mar/2002:19:53:55 +0900] "GET /index.html-_-http:
> //example.com/ HTTP/1.0" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows
> NT 5.0)"

ですね。
"GET /index.html-_-http://example.com/ HTTP/1.0" の部分が "GET http://example.com/ HTTP/1.0" になかなか成りませんね。


# http://202.213.yy.zz:8000/http://example.com/ でアクセスすると、"GET /http://example.com/ HTTP/1.0" には、
# 404エラーでアクセスログが出来るとは、思いますが、「http」の前の「/」がなかなか取れません。


ありがたいです「鷹の巣」サイト!

No.1916 投稿時間:2002年03月18日(Mon) 23:40 投稿者名:ryujin URL:http://tug.webhop.info

色々ありがとうございます。
JCERTに昨日メールしたものが、先ほど帰ってきましたが、
自鯖と言いますか個人申告メールでは定型返答が帰ってきただけでした。
そして今NewbieのMLに出してみました。あまり気が進みませんでしたが。
始めHTMLで出してしまいイエローカード?が、再度テキストで発信してみました。
でも、自鯖を運営を持続して行くには、このログ解釈をしておく必要があると感じるので。
ここでの色々の情報を踏まえて投稿してみます。


> "GET /index.html-_-http://example.com/ HTTP/1.0" の部分が "GET http://example.com/ HTTP/1.0" になかなか成りませんね。
> # http://202.213.yy.zz:8000/http://example.com/ でアクセスすると、"GET /http://example.com/ HTTP/1.0" には、
> # 404エラーでアクセスログが出来るとは、思いますが、「http」の前の「/」がなかなか取れません。
ありがたいです「鷹の巣」サイト!

今度はYahooログが?
61.174.109.23 - - [18/Mar/2002:21:52:37 +0900] "GET http://www.yahoo.com/ HTTP/1
.1" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)"


ん~ん。わかりません。

No.1918 投稿時間:2002年03月19日(Tue) 00:50 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 今度はYahooログが?
> 61.174.109.23 - - [18/Mar/2002:21:52:37 +0900] "GET http://www.yahoo.com/ HTTP/1
> .1" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)"


http://tug.homeunix.com:8000/?123
http://tug.homeunix.com:8000/#123
などでも
http://tug.homeunix.com:8000/index.html
がアクセス出来ることから、
http://tug.homeunix.com:8000/?(バックスペースの文字列2個)http://www.yahoo.com/
を実施したつもりで、バックスペースを「^H」か「%08」で作成して自サイトにアクセスして見ました。

こちらのAN HTTPD(Webサーバー)では、

http://sakaguch.com/?^H^Hhttp://example.com
vvv.xxx.yyy.zzz - - [19/Mar/2002:00:28:00 +0900] "GET /?^H^Hhttp://example.com HTTP/1.0" 200 23247

http://sakaguch.com/?%08%08http://example.com
vvv.xxx.yyy.zzz - - [19/Mar/2002:00:29:57 +0900] "GET /?%08%08http://example.com HTTP/1.0" 200 23247

となって、ログファイルの改変が出来ませんでした。ryujinさんのApacheでも多分作れませんよね。


# どうやってこのログをHTTPポートから入ってきて、作っているのでしょう。ん~ん。わかりません。


telnetはプロバイダで閉じられてます

No.1899 投稿時間:2002年03月18日(Mon) 15:06 投稿者名:ryujin URL:http://tug.webhop.info

ありがとうございます。
> telnetのポート23番をルータで閉めている場合で、
プロバイダにて閉じられているようです。SygateScanでポート23は「blocked」となっています。
> 1.GETメソッドが200で成功となっていますので、自サイト内に8636バイトのファイルが存在しますか。
はい存在します。Apache先頭のindex.htmlがまさにこのサイズです。

> で、別ログに常時書いてチェックを怠らないことだと考えます。とりあえず、telnetのポート23番をルータで閉めて、過去のログを全てチェックして下さい。
Webalizerの解析結果の3月分にchina一件が存在したので、access_logを探した所本件がポツント一件存在しました。
他にはポート80が開かれていた時(2ヶ月前の)のCodeRed攻撃ログが有るのみでした。

P.S.
URLのポート番号が煩わしいので、dyndnsのURL転送を使って見ました(広告が出るのがイマイチですが)。


広告がつかない転送もありますよ

No.1902 投稿時間:2002年03月18日(Mon) 16:20 投稿者名:OAK URL:

> P.S.
> URLのポート番号が煩わしいので、dyndnsのURL転送を使って見ました(広告が出るのがイマイチですが)。

http://www.y7.net 私ドメインとるまで使ってましたが、広告つかずに転送してくれます。
もちろん無料です。


情報ありがとうございます

No.1905 投稿時間:2002年03月18日(Mon) 18:07 投稿者名:ryujin URL:http://tug.webhop.info

> http://www.y7.net 私ドメインとるまで使ってましたが、広告つかずに転送してくれます。
> もちろん無料です。
色々あるものですね。


参考まで

No.1926 投稿時間:2002年03月19日(Tue) 10:34 投稿者名:OAK URL:

私の場合次の様にアクセスを止めています。参考まで。

(1)前にこの掲示板で書きましたが、不正アクセスログが1日で500Kバイトを
超える量がありましたので
ルータに外部IPアドレスにより通さない設定ができたので
あまりひどいアクセス回数の発信元のIPアドレスを海外からであることを確認し16ビットマスクで遮断

(2)バーチャルホストで、正規のドメイン(http://www.kkk.nu kkk.nu)のみ正規のページに
デフォルト(IPアドレスで入ってきたもの)はダミーのページを表示

(3)受け付ける相手のドメインを
.com .net .org .jp だけに設定

で行っています

ポート80は閉じられていてもプロバイダーに頼むと開けてくれるところがあります。(めたりっくなど)


参考にさせて頂きます。

No.1933 投稿時間:2002年03月19日(Tue) 19:34 投稿者名:ryujin URL:http://tug.webhop.info

アドバイスありがとうございます。
> (2)バーチャルホストで、正規のドメイン(http://www.kkk.nu kkk.nu)のみ正規のページに
> デフォルト(IPアドレスで入ってきたもの)はダミーのページを表示
バーチャルドメインはまだ試しておりません。
記事で
http://sakaguch.com/PastBBS/0004/B0001852.html
port80以外で動かしているとバーチャルドメインが立てられない?様ですが
私の場合ポート8000でApacheを動かしていますが出来るのでしょうか?

> ポート80は閉じられていてもプロバイダーに頼むと開けてくれるところがあります。(めたりっくなど)
第三セクターで市内WAN計画の一部として構築されてる様なので80ポートは空けてくれないようです。
うる覚えですが、確か
「めったくりと同じで方式を取っており、以前めったくりさんの80ポートが攻撃を受けた前例があるので慎重」
にならざるおえないと言っいたような。


ApacheーMLの回答内容です

No.1956 投稿時間:2002年03月20日(Wed) 15:53 投稿者名:ryujin URL:http://tug.webhop.info

下記の回答がありましたので掲載します
---------------抜粋---------------------
「知っている人にはすでに有名な事象だと思いますが、はじめて見たかたの反
応として割と良いところに気付いておられる気がします。

ご自分の使っているブラウザの proxy server として、ご自分の立ち上げて
いる web server を設定してみましょう。その上で http://www.yahoo.com/
http://www.intel.com/ へアクセスを試みると、たぶん(発信元以外は)
気になさっているのと同じログが残ることでしょう。

実際に proxy として使えるように設定をしていないならブラウザ側にエラー
が出ますが、それで正解です。

| これは攻撃の前兆なのでしょうか?愉快犯?

前兆と言えばそうだし、そうでないと言えばないし…。おそらくは probe
でしょう。あなたの立ち上げている(「立てる」という表現嫌い)サーバを特
に狙ったものではなくて、どこかに open proxy として使えるマシンが無いか
を走査していると考えた方が事実に近いだろうと思います。」
---------------抜粋---------------------

試してみました
ブラウザー→ツール→インターネットオプション→接続タブ→LAN設定
にてProxyのHTTPに自鯖のIPアドレスを設定し試したログ結果

v850s.inphysi.net - - [20/Mar/2002:12:44:29 +0900] "GET http://www.yahoo.com/ HT
TP/1.0" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; T312461
; Q312461)"
v850s.inphysi.net - - [20/Mar/2002:12:44:29 +0900] "GET http://www.yahoo.com/hpm
aterial/mar211998001.jpg HTTP/1.0" 200 9251 "http://www.yahoo.com/" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.0; T312461; Q312461)"
v850s.inphysi.net - - [20/Mar/2002:12:44:29 +0900] "GET http://tug.homeunix.com:
8000/cgi-bin/Count.cgi?df=InfoPhysics.dat HTTP/1.0" 200 9590 "http://www.yahoo.c
om/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; T312461; Q312461)"
v850s.inphysi.net - - [20/Mar/2002:12:44:42 +0900] "GET http://www.intel.com/ HT
TP/1.0" 200 8636 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; T312461
; Q312461)"
v850s.inphysi.net - - [20/Mar/2002:12:44:42 +0900] "GET http://www.intel.com/hpm
aterial/mar211998001.jpg HTTP/1.0" 200 9251 "http://www.intel.com/" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.0; T312461; Q312461)"

ログ残るな。
Open Proxyのプローブ?・・・


私も同様にして試してみました。

No.1959 投稿時間:2002年03月20日(Wed) 21:46 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 下記の回答がありましたので掲載します


ご報告して頂きましてありがとうございました。


> 試してみました
> ブラウザー→ツール→インターネットオプション→接続タブ→LAN設定


同様にして、20時57分より5分間程、ブラウザのプロキシサーバーにryujinさんのサイトのIPアドレスを設定し、ポートを8000番と8888番に設定して、
例示用の「Example Web Page」( http://example.com/ )にアクセス致しました。
結果は、ryujinさんのサイトのホームページ(トップページ)が表示されました。


> ログ残るな。
> Open Proxyのプローブ?・・・


ryujinさんのお陰で、今回、ひとつ勉強になりました。色々教えて頂いてありがとうございました。


# 8000番台のポートスキャンを実施後にプロキシサーバーを利用しようとしたログだったんですね。
# 油断は禁物ですが、このようなプロキシサーバーを初段に使用するログは、あまり心配する必要がないかもしれません。
# なぜなら、プロキシサーバー(delegate)を多段使用する方法を知らないのですから。


鷹の巣さんのでしたか

No.1961 投稿時間:2002年03月21日(Thu) 01:27 投稿者名:ryujin URL:http://tug.webhop.info

> 同様にして、20時57分より5分間程、ブラウザのプロキシサーバーにryujinさんのサイトのIPアドレスを設定し、ポートを8000番と8888番に設定して、
> 例示用の「Example Web Page」( http://example.com/ )にアクセス致しました。
> 結果は、ryujinさんのサイトのホームページ(トップページ)が表示されました。
誰かの多くの変なログが」と思っていたら「多分そうかなと思いましたが
(BBS改行した為に下に有ったので気づくのが遅くなりました。)

> ryujinさんのお陰で、今回、ひとつ勉強になりました。色々教えて頂いてありがとうございました。
此方こそありがとうございます。「鷹の巣」さんの試みが無ければそのままにしていた事でしょ。
Apache-MLにも出せたかどうか。

> # 8000番台のポートスキャンを実施後にプロキシサーバーを利用しようとしたログだったんですね。
> # 油断は禁物ですが、このようなプロキシサーバーを初段に使用するログは、あまり心配する必要がないかもしれません。
> # なぜなら、プロキシサーバー(delegate)を多段使用する方法を知らないのですから。
多段使用が私にはわかりません。教えてください。


2種類のつなぎ方があります。

No.1962 投稿時間:2002年03月21日(Thu) 02:16 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 多段使用が私にはわかりません。教えてください。


この「proxy_kou」サイト
http://ruffnex.oc.to/ipusiron/proxy_kou.htm
の「多段プロクシ」に書いてあります。2種類のつなぎ方があります。


|目次|掲示板|過去ログ目次|▲頁先頭|