投稿日:2002年05月03日 作成鷹の巣

No.2858 ウイルス?



ウイルス?

No.2858 投稿時間:2002年05月03日(Fri) 15:28 投稿者名:佐光 URL:

やっとの思いで自宅サーバーを作ることが出来たのですが、
An httpdのログを見ると
co-211-78-28-118.kgex.com.tw - - [02/May/2002:00:11:48 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
のようなログがあります。
なんか変なアクセスなのでこの事を友人に言うと「もしかしてウイルスじゃないの?」と言われてしまいました。
このアクセスの正体は何なのでしょうか?


ワームの可能性が有りそうです

No.2859 投稿時間:2002年05月03日(Fri) 16:28 投稿者名:simmn URL:

ここの掲示板の2795番で鷹の巣氏が既にお書きになっているので、ご覧ください。
また、その前後で私も書いています。

ワームの攻撃を受けているか、あるいはワームの手法を模倣してクラッカーが不正アクセスを
試みている可能性もあります。

とにかく、放置すべきでない状況に置かれていることだけは間違いなさそうです。


Nimda要求です。心配要りません。

No.2873 投稿時間:2002年05月04日(Sat) 07:56 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> co-211-78-28-118.kgex.com.tw - - [02/May/2002:00:11:48 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
> のようなログがあります。

IIS を狙った、Nimda アタックです。大抵はワームでしょう。
400番台で出ていますので、要求に失敗しています。被害はありません。安心してください。

ログ関連では、鷹の巣さんの用意されている、非常に分かりやすいページがあります。
http://sakaguch.com/HTTPlog.html

鷹の巣さんの2795記事。
http://sakaguch.com/PastBBS/0005/B0002765.html#No2795

IIS セキュリティホールを狙った攻撃は後を絶ちませんので、パッチは、配布されたら必ず当てるよう心がけてください。
面倒がったり、放置したりしていますと、必ずつぶされます。


帯鯖さんの説明の続きです。

No.2879 投稿時間:2002年05月04日(Sat) 10:54 投稿者名:鷹の巣 URL:http://sakaguch.com/

> An httpdのログを見ると
> co-211-78-28-118.kgex.com.tw - - [02/May/2002:00:11:48 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
> のようなログがあります。
> なんか変なアクセスなのでこの事を友人に言うと「もしかしてウイルスじゃないの?」と言われてしまいました。
> このアクセスの正体は何なのでしょうか?


帯鯖さんの説明の続きです。
ウイルスの一種のワームというタイプですが、検索エンジンでどんなものか調べて見て下さい。
手順H.セキュリィテイの確認(この説明は、Windows系だけに摘要します。)
http://sakaguch.com/Security.html
をご一読願います。(リンク先も読んで下さい。)

●生ログの一部の読み方(ドキュメントルートとは。)

co-211-78-28-118.kgex.com.tw - - [02/May/2002:00:11:48 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
の一部"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"を説明しますと、
http://example.com/c/winnt/system32/cmd.exe?/c+dir
というアクセスがあった場合に記録されます。
http://example.com/ の最後の / は、ドキュメントルートと言って、このルートより上位の親フォルダには、アクセス出来ません。
GET /c/winnt/ 先頭の / は、ドキュメントルートに対応します。

上記のことから、まとめますとドキュメントルート以下のフォルダにcmd.exeやバッチファイル等の実行ファイルを絶対に入れてはいけません。
自分の意図した実行ファイルであってもその実行ファイルを複数起動されて、深刻な事態に陥る場合があるためです。


●おまけ(Webページを公開するということは。)

ついでに余計なことを書きます。
AN HTTPDの場合は、フォルダ内のファイル一覧がインストール状態で表示されることは、ありませんが、
既成のCGIなどを設置しますと、フォルダとその内のファイル一覧が類推されます。
例えば、
http://sakaguch.com/cgi/calen/log/200112.TXT
http://sakaguch.com/cgi/enq/enq.log
などです。上のURLは、Webページとして表示されますし、下のURLは、ダウンロードされて中身を見ることが出来ます。
注意しないといけないのは、この掲示板もそうですが、メールアドレスを隠すような設定がある場合、
そのデータを表示したり、ダウンロードされて中身を見ることが出来ると利用者に迷惑がかかる場合があります。
その様な場合は、ファイル名を変えたり、windowsで言うところの拡張子をcgiなどにしたりして、隠蔽しなければなりません。

以上の余計なことをまとめますと
「ドキュメートルート以下のフォルダは、世界に向けて公開する場所であり、全てのファイルを見ることが出来る。」という前提で考えて下さい。
見られて困るファイルは、ドキュメートルート以下のフォルダに入れないことと、どうしても入れる場合は、フォルダのファイル一覧を
見れなくし、ファイル名を類推出来ないものにすることです。


|目次|掲示板|過去ログ目次|▲頁先頭|