No.4231 投稿時間:2002年07月22日(Mon) 12:56 投稿者名:OAK URL:
急にhttpのログが大きくなったのでチェックしたところ下記のデータが1500行もありました
ほんの30分ぐらいで、おおむね一秒ごとに送られて来てました(その後はない)すべて同じ発信元です。
逆引きは出来ませんでした。
ウイルスでしょうか、それとも故意か、過失かわかりませんが、どなたかご存知ですか?
あまりにも短時間に連続できているのでウイルスには思えません。
下手するとバッファーオーバーしますし、止まらなければログがオーバーして、ディスクフルに
なってしまいます。(ディスクが小さいもんで)
もしウイルスで今後あっちこっちから来たら私のサーバーはダウンする事間違いないです。
207.33.111.xx - - [19/Jul/2002:13:19:06 +0900] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0A
Accept%3A%20udqdzjjaxxdlblb/../../index.html%3fabhegpwiadj=/../emdkmbwcmrljuavbj
pllzlifdimhuinihuuwwwgsuuvwlfkrimtcndedwsuejcvzxuktoioevdilsxirgngtejsbtfznjiewb
njhqfdmoqxmigonukqcumqqqacshngapofljldhmnpwmghrmhmghykavqjkffsnkyuduuxmccsbeblbk
qhinusjyeermsyyzhiikvezvjxnkkygjaritmonyfukgawperxkmsbltjjzrrgdturxbcfsiubpbhkte
qwyocgelxakanziyhxwtephkvcavbykswpnscudklxwoyjamdywlfbtmpqtfltyiesujtjkewmygypob
zhztmmoqtgkxglkoisrygbpyucjlpyoholumsirsnptghpziutzkpglmnrbglrvbglpikcrjxkipzonz
sejsvnvpndhduuyguvzplxogwwdgxmzgffkggwfbmvflffjraszfvormrbbwwdibksapkigxoxfcbadb
fhyoezjkaamdkkvzdumdriuqspgdewbkckthcwcctxmtymrowjeueqccrckmtbqmmehiflccxpzgswcu
pcxwyqrwxihxseftlucuiqikzeallmgnuojfjkzpbqazwqruixajixtcupwdgpcihimjidfttmlpkwcu
vqleukjnktnzevfoofcbulylmxupfmvikdaegnryurvzdeyazzjyxzmpicvktuamrxrefcoewaqybmqy
mokamunqeauaggqjrhsvnivmzmrfpncephpqxogtczhiyxodmtrejfvkjasxwhsbxqfdebyvguafynmq
epazpqkhyulpixgkqarxqpkrofuarbomglgspgsmbhhqebxgwjcrgkzljtnnkocyotcryhtpvkiuejjv
eninzkehfajnafyvkxwrwjwhgfnnvouaixsyqbpwbdwzfiwrnregostsrelrsiohvqdrquqylatotslu
segeafovdtdopxufbjeveehumeicwkikkmpfzagllsojzcyysusbfffawtlhcmvoczznugdbzphcrxhz
aljxehakyuviecupzykiupdkmkzlvmlszbcntwlymsvgsnejpakwbdyvvkydnieafhypogthjgrocbje
gcjghfgdnmxmdrehrtzplrwfhwczuleckenaypkccsjmsgxjwenjoucvbdywxdunwmrwfkonjlgwqvsb
zqqwykvbcgntsjthljxolyyjqmxhqjhvhefwotceykbpempgvtfczwprrcjtxzjwaklwbpriqvkxwjwr
cuvipshpykmbfcsleyicsqomxnwfqkoucvuuampyotjcdbukjpfliufalitgpxyxylzzbrwagc/.././
%43%47%49%2d%42%49%4e/./%48%41%4e%44%4c%45%52 HTTP/1.0" 403 272
No.4238 投稿時間:2002年07月22日(Mon) 21:39 投稿者名:中田昭雄 URL:http://www.st.rim.or.jp/~nakata/
"HEAD%00 /%20HTTP" で google で検索したら、答えらしいものは、
http://www.der-keiler.de/Newsgroups/comp.os.linux.security/2001-12/0147.html
くらいでした。
何でしょうね。。
No.4240 投稿時間:2002年07月22日(Mon) 22:32 投稿者名:帯鯖 URL:
帯鯖@名古屋です。
> ほんの30分ぐらいで、おおむね一秒ごとに送られて来てました(その後はない)すべて同じ発信元です。
個人的には、何かのツールを使った人為的な仕業だと思います。
(1回/秒)×(30分:1800秒)=約1800回?
セキュリティホールへのアタックやDoSなどを狙っているとしか思えませんが、
このような「試したがり屋クラッカー」には、本当に困ったものですね。
とりあえずのところ無事であれば、OAKさんの方が優秀であるのは言うまでもないですね。
頻繁に続けば、ログを開示して管理元に注意するとか、フィルタリングをかけるとか…。
No.4247 投稿時間:2002年07月22日(Mon) 23:55 投稿者名:AMM URL:http://www.ayamizu.com
同じIPです。多分。
ちょっとさかのぼると
5/5 6/12 7/6
に同じ集中攻撃のエラーログがあります。いずれも同じIPです。
No.4256 投稿時間:2002年07月23日(Tue) 12:52 投稿者名:OAK URL:
> 同じIPです。多分。
> ちょっとさかのぼると
> 5/5 6/12 7/6
> に同じ集中攻撃のエラーログがあります。いずれも同じIPです。
皆様、色々な情報ありがとうございます
誰かが作為的かミスかで出していると考えた方がよさそうですね
それならまた一ヶ月ぐらいたつと来るのかな。
月に一度ぐらいなら気にしません。
ドメインからのアクセスでないので、IPアドレスが変わると来なくなるかも知れません。
No.4263 投稿時間:2002年07月23日(Tue) 18:31 投稿者名:鷹の巣 URL:http://sakauch.com/
> > 同じIPです。多分。 > > ちょっとさかのぼると > > 5/5 6/12 7/6 > > に同じ集中攻撃のエラーログがあります。いずれも同じIPです。 > > 皆様、色々な情報ありがとうございます > 誰かが作為的かミスかで出していると考えた方がよさそうですね > それならまた一ヶ月ぐらいたつと来るのかな。 > 月に一度ぐらいなら気にしません。 > ドメインからのアクセスでないので、IPアドレスが変わると来なくなるかも知れません。 ブラウザIE6のセキュリティレベルを「高」にして、 http://207.33.111.32/ にアクセスすると、 http://scan.sygatetech.com/ のWebページが出て来ました。Sygateでは、以下の様な正規なオンラインスキャン 「Quick Scan」「Steaith Scan」「Trojan Scan」「TCP Scan」「UDP Scan」「IMAP」 を実施出来ますが、OAKさんのログは、正規のTCPの走査で出来るのかは、まだ調べていません。 TCP80番の接続で、アクセス元のIPアドレスを偽装しているとすると、帯鯖さんのご指摘の「試したがり屋クラッカー」とは、 ちょっと違う様な気がします。 [参考] ------------------------------------- E:\>nslookup 207.33.111.32 Server: eagle.asahi-net.or.jp Address: 202.224.32.1 *** eagle.asahi-net.or.jp can't find 207.33.111.32: Non-existent domain ------------------------------------- E:\>nslookup sygatetech.com Server: eagle.asahi-net.or.jp Address: 202.224.32.1 Non-authoritative answer: Name: sygatetech.com Address: 207.33.111.32 ------------------------------------- E:\>nslookup scan.sygatetech.com Server: eagle.asahi-net.or.jp Address: 202.224.32.1 Non-authoritative answer: Name: sygatetech.com Address: 207.33.111.32 Aliases: scan.sygatetech.com -------------------------------------
No.4265 投稿時間:2002年07月23日(Tue) 19:20 投稿者名:OAK URL:
> ブラウザIE6のセキュリティレベルを「高」にして、
> http://207.33.111.32/
> にアクセスすると、
> http://scan.sygatetech.com/
> のWebページが出て来ました。Sygateでは、以下の様な正規なオンラインスキャン
> 「Quick Scan」「Steaith Scan」「Trojan Scan」「TCP Scan」「UDP Scan」「IMAP」
> を実施出来ますが、OAKさんのログは、正規のTCPの走査で出来るのかは、まだ調べていません。
> TCP80番の接続で、アクセス元のIPアドレスを偽装しているとすると、帯鯖さんのご指摘の「試したがり屋クラッカー」とは、
> ちょっと違う様な気がします。
そう言われればポートスキャンをかけたような気がします。
このせいですかね。それにしてもずいぶんいっぱい送ってくるのですね。
No.4267 投稿時間:2002年07月23日(Tue) 20:08 投稿者名:AMM URL:http://www.ayamizu.com
自分のせいだったのか。
IPの下位が34だったのでホストが見つかりませんでした。
No.4270 投稿時間:2002年07月23日(Tue) 23:26 投稿者名:帯鯖 URL:
そうでしたか…。鷹の巣さんよく調べられましたね。
おかしな提案をしてしましました。ごめんなさい。
中田昭雄さんが貼って頂いたリンク
http://www.der-keiler.de/Newsgroups/comp.os.linux.security/2001-12/0147.html
の、「次」のメッセージに「パッチを当てよう」とありましたので、てっきりセキュリティホールアタックかと思ってしまいました。
http://scan.sygatetech.com/
ではポートの開閉をチェックするようですが、どうしてこのようなパケットを送ってくるのか謎ですね。
アプリケーションのセキュリティホールチェックまでやってくれているのでしょうか?
しかし、DoS攻撃と紙一重の気がします。
sygatetech.com のIPアドレスも、きちんと逆引きしておいてもらいたいものです。