投稿日:2002年07月22日 作成鷹の巣

No.4231 不正なアクセスログ。ウイルスでしょうか



不正なアクセスログ。ウイルスでしょうか

No.4231 投稿時間:2002年07月22日(Mon) 12:56 投稿者名:OAK URL:

急にhttpのログが大きくなったのでチェックしたところ下記のデータが1500行もありました
ほんの30分ぐらいで、おおむね一秒ごとに送られて来てました(その後はない)すべて同じ発信元です。
逆引きは出来ませんでした。

ウイルスでしょうか、それとも故意か、過失かわかりませんが、どなたかご存知ですか?
あまりにも短時間に連続できているのでウイルスには思えません。
下手するとバッファーオーバーしますし、止まらなければログがオーバーして、ディスクフルに
なってしまいます。(ディスクが小さいもんで)
もしウイルスで今後あっちこっちから来たら私のサーバーはダウンする事間違いないです。

207.33.111.xx - - [19/Jul/2002:13:19:06 +0900] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0A
Accept%3A%20udqdzjjaxxdlblb/../../index.html%3fabhegpwiadj=/../emdkmbwcmrljuavbj
pllzlifdimhuinihuuwwwgsuuvwlfkrimtcndedwsuejcvzxuktoioevdilsxirgngtejsbtfznjiewb
njhqfdmoqxmigonukqcumqqqacshngapofljldhmnpwmghrmhmghykavqjkffsnkyuduuxmccsbeblbk
qhinusjyeermsyyzhiikvezvjxnkkygjaritmonyfukgawperxkmsbltjjzrrgdturxbcfsiubpbhkte
qwyocgelxakanziyhxwtephkvcavbykswpnscudklxwoyjamdywlfbtmpqtfltyiesujtjkewmygypob
zhztmmoqtgkxglkoisrygbpyucjlpyoholumsirsnptghpziutzkpglmnrbglrvbglpikcrjxkipzonz
sejsvnvpndhduuyguvzplxogwwdgxmzgffkggwfbmvflffjraszfvormrbbwwdibksapkigxoxfcbadb
fhyoezjkaamdkkvzdumdriuqspgdewbkckthcwcctxmtymrowjeueqccrckmtbqmmehiflccxpzgswcu
pcxwyqrwxihxseftlucuiqikzeallmgnuojfjkzpbqazwqruixajixtcupwdgpcihimjidfttmlpkwcu
vqleukjnktnzevfoofcbulylmxupfmvikdaegnryurvzdeyazzjyxzmpicvktuamrxrefcoewaqybmqy
mokamunqeauaggqjrhsvnivmzmrfpncephpqxogtczhiyxodmtrejfvkjasxwhsbxqfdebyvguafynmq
epazpqkhyulpixgkqarxqpkrofuarbomglgspgsmbhhqebxgwjcrgkzljtnnkocyotcryhtpvkiuejjv
eninzkehfajnafyvkxwrwjwhgfnnvouaixsyqbpwbdwzfiwrnregostsrelrsiohvqdrquqylatotslu
segeafovdtdopxufbjeveehumeicwkikkmpfzagllsojzcyysusbfffawtlhcmvoczznugdbzphcrxhz
aljxehakyuviecupzykiupdkmkzlvmlszbcntwlymsvgsnejpakwbdyvvkydnieafhypogthjgrocbje
gcjghfgdnmxmdrehrtzplrwfhwczuleckenaypkccsjmsgxjwenjoucvbdywxdunwmrwfkonjlgwqvsb
zqqwykvbcgntsjthljxolyyjqmxhqjhvhefwotceykbpempgvtfczwprrcjtxzjwaklwbpriqvkxwjwr
cuvipshpykmbfcsleyicsqomxnwfqkoucvuuampyotjcdbukjpfliufalitgpxyxylzzbrwagc/.././
%43%47%49%2d%42%49%4e/./%48%41%4e%44%4c%45%52 HTTP/1.0" 403 272


google で検索したら...

No.4238 投稿時間:2002年07月22日(Mon) 21:39 投稿者名:中田昭雄 URL:http://www.st.rim.or.jp/~nakata/

"HEAD%00 /%20HTTP" で google で検索したら、答えらしいものは、
http://www.der-keiler.de/Newsgroups/comp.os.linux.security/2001-12/0147.html
くらいでした。
何でしょうね。。


故意的かもしれませんね。

No.4240 投稿時間:2002年07月22日(Mon) 22:32 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> ほんの30分ぐらいで、おおむね一秒ごとに送られて来てました(その後はない)すべて同じ発信元です。

個人的には、何かのツールを使った人為的な仕業だと思います。

(1回/秒)×(30分:1800秒)=約1800回?
セキュリティホールへのアタックやDoSなどを狙っているとしか思えませんが、
このような「試したがり屋クラッカー」には、本当に困ったものですね。

とりあえずのところ無事であれば、OAKさんの方が優秀であるのは言うまでもないですね。
頻繁に続けば、ログを開示して管理元に注意するとか、フィルタリングをかけるとか…。


私のところにも来てますよ

No.4247 投稿時間:2002年07月22日(Mon) 23:55 投稿者名:AMM URL:http://www.ayamizu.com

同じIPです。多分。
ちょっとさかのぼると
5/5 6/12 7/6
に同じ集中攻撃のエラーログがあります。いずれも同じIPです。


色々な情報ありがとうございます

No.4256 投稿時間:2002年07月23日(Tue) 12:52 投稿者名:OAK URL:

> 同じIPです。多分。
> ちょっとさかのぼると
> 5/5 6/12 7/6
> に同じ集中攻撃のエラーログがあります。いずれも同じIPです。

皆様、色々な情報ありがとうございます
誰かが作為的かミスかで出していると考えた方がよさそうですね
それならまた一ヶ月ぐらいたつと来るのかな。
月に一度ぐらいなら気にしません。
ドメインからのアクセスでないので、IPアドレスが変わると来なくなるかも知れません。


「207.33.111.32」は、「Sygate」ですが...

No.4263 投稿時間:2002年07月23日(Tue) 18:31 投稿者名:鷹の巣 URL:http://sakauch.com/

> > 同じIPです。多分。
> > ちょっとさかのぼると
> > 5/5  6/12  7/6
> > に同じ集中攻撃のエラーログがあります。いずれも同じIPです。
> 
> 皆様、色々な情報ありがとうございます
> 誰かが作為的かミスかで出していると考えた方がよさそうですね
> それならまた一ヶ月ぐらいたつと来るのかな。
> 月に一度ぐらいなら気にしません。
> ドメインからのアクセスでないので、IPアドレスが変わると来なくなるかも知れません。


ブラウザIE6のセキュリティレベルを「高」にして、
http://207.33.111.32/
にアクセスすると、
http://scan.sygatetech.com/
のWebページが出て来ました。Sygateでは、以下の様な正規なオンラインスキャン
「Quick Scan」「Steaith Scan」「Trojan Scan」「TCP Scan」「UDP Scan」「IMAP」
を実施出来ますが、OAKさんのログは、正規のTCPの走査で出来るのかは、まだ調べていません。
TCP80番の接続で、アクセス元のIPアドレスを偽装しているとすると、帯鯖さんのご指摘の「試したがり屋クラッカー」とは、
ちょっと違う様な気がします。


[参考]
-------------------------------------
E:\>nslookup 207.33.111.32
Server:  eagle.asahi-net.or.jp
Address:  202.224.32.1

*** eagle.asahi-net.or.jp can't find 207.33.111.32: Non-existent domain


-------------------------------------
E:\>nslookup sygatetech.com
Server:  eagle.asahi-net.or.jp
Address:  202.224.32.1

Non-authoritative answer:
Name:    sygatetech.com
Address:  207.33.111.32
-------------------------------------
E:\>nslookup scan.sygatetech.com
Server:  eagle.asahi-net.or.jp
Address:  202.224.32.1

Non-authoritative answer:
Name:    sygatetech.com
Address:  207.33.111.32
Aliases:  scan.sygatetech.com
-------------------------------------


それが正解でしょう。

No.4265 投稿時間:2002年07月23日(Tue) 19:20 投稿者名:OAK URL:

> ブラウザIE6のセキュリティレベルを「高」にして、
> http://207.33.111.32/
> にアクセスすると、
> http://scan.sygatetech.com/
> のWebページが出て来ました。Sygateでは、以下の様な正規なオンラインスキャン
> 「Quick Scan」「Steaith Scan」「Trojan Scan」「TCP Scan」「UDP Scan」「IMAP」
> を実施出来ますが、OAKさんのログは、正規のTCPの走査で出来るのかは、まだ調べていません。
> TCP80番の接続で、アクセス元のIPアドレスを偽装しているとすると、帯鯖さんのご指摘の「試したがり屋クラッカー」とは、
> ちょっと違う様な気がします。

そう言われればポートスキャンをかけたような気がします。
このせいですかね。それにしてもずいぶんいっぱい送ってくるのですね。


なるほど

No.4267 投稿時間:2002年07月23日(Tue) 20:08 投稿者名:AMM URL:http://www.ayamizu.com

自分のせいだったのか。
IPの下位が34だったのでホストが見つかりませんでした。


なるほど感心

No.4270 投稿時間:2002年07月23日(Tue) 23:26 投稿者名:帯鯖 URL:

そうでしたか…。鷹の巣さんよく調べられましたね。
おかしな提案をしてしましました。ごめんなさい。

中田昭雄さんが貼って頂いたリンク
http://www.der-keiler.de/Newsgroups/comp.os.linux.security/2001-12/0147.html
の、「次」のメッセージに「パッチを当てよう」とありましたので、てっきりセキュリティホールアタックかと思ってしまいました。

http://scan.sygatetech.com/
ではポートの開閉をチェックするようですが、どうしてこのようなパケットを送ってくるのか謎ですね。
アプリケーションのセキュリティホールチェックまでやってくれているのでしょうか?

しかし、DoS攻撃と紙一重の気がします。
sygatetech.com のIPアドレスも、きちんと逆引きしておいてもらいたいものです。


|目次|掲示板|過去ログ目次|▲頁先頭|