投稿日:2002年08月05日 作成鷹の巣

No.4472 これはCodeRed?



これはCodeRed?

No.4472 投稿時間:2002年08月05日(Mon) 20:37 投稿者名:ぱるぷ URL:

このサイトを参考uD・宅サーバーを立ててみました。
Win2000でAnHTTPDを利用しているのですが、ワームからと思われる下記のようなアクセスが多くて
ビックリしています。
61.27.130.108 - - [24/Jul/2002:22:39:03 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
61.27.130.108 - - [24/Jul/2002:22:39:03 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
これらのアクセスはCodeRedやNimdaを割り切り、その都度アクセス制限をしているのですが、
本日このようなログが残っていました
(判断できないため、IPは省略) - - [05/Aug/2002:15:25:34 +0900] " ?????? HTTP/ュ Xヘ" 400 219
GETかPOSTかも分からず、どういったリクエストかも不明なので対処法が分かりません。
よろしければ、このログの意味を教えて頂けると幸いです。

また、ゥ分のWin2kサーバーが裏で攻撃をしていないか判断する方法はあるのでしょうか?
一応Ad-Awearとノートンインターネットセキュリティを使用しています。


不正進入を試みているのかもしれませんね。

No.4473 投稿時間:2002年08月05日(Mon) 23:18 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> (判断できないため、IPは省略) - - [05/Aug/2002:15:25:34 +0900] " ?????? HTTP/ュ Xヘ" 400 219
> GETかPOSTかも分からず、どういったリクエストかも不明なので対処法が分かりません。
> よろしければ、このログの意味を教えて頂けると幸いです。

不正進入を試みているのかもしれませんね。telnetで80に接続して、キー入力すれば、どんな入力もできます。
おやじは経験はありませんが?
クライアントから、「telnet server.address 80」と入力し、入力モードになったら、「????? HTTP ・・・」
と入力すると、同じログが出ると思います。アドレスがわかっているなら、一応ブロックしてはどうでしょうか。
どうせ、どこかのプロキシでしょうが?
ちなみに、CodeRedは、下記のように非常に長い「N」または「?」の連続です。Nimdaはまだまだ健在ですが、
CodeRedは、おやじサーバには2週間前に来たきりで、一時に比べほとんどありません。

" GET /default.ida?NNNN・・・・・・・・・"


ありがとうございました。

No.4488 投稿時間:2002年08月07日(Wed) 01:18 投稿者名:ぱるぷ URL:

おやじさん、ありがとうございました。
telnetはサービスを停止していたのですが、ルーターでWAN→LAN側のポートを
閉じておきます(今更ですが^^;)

本当にありがとうございました。


いい方法が有りましたら自分にも教えてください

No.4492 投稿時間:2002年08月07日(Wed) 09:53 投稿者名:hiro URL:

> > (判断できないため、IPは省略) - - [05/Aug/2002:15:25:34 +0900] " ?????? HTTP/ュ Xヘ" 400 219
> > GETかPOSTかも分からず、どういったリクエストかも不明なので対処法が分かりません。
> > よろしければ、このログの意味を教えて頂けると幸いです。
>
> と入力すると、同じログが出ると思います。アドレスがわかっているなら、一応ブロックしてはどうでしょうか。

家は毎日きてます でもブロックするのも毎日2箇所以上からくるのでたいへんなりょうになるのでは?
それと 非固定のIPだったらそれこそ・・・
一応エラーになってるので いいかなーと思ってましたがだめでしょうか?

> ちなみに、CodeRedは、下記のように非常に長い「N」または「?」の連続です。Nimdaはまだまだ健在ですが、
> CodeRedは、おやじサーバには2週間前に来たきりで、一時に比べほとんどありません。
>
> " GET /default.ida?NNNN・・・・・・・・・"

これもたまに来てます・・・

いい方法が有りましたゆD・分にも教えてください


アクセスを試みられたという事でしょうか?

No.4494 投稿時間:2002年08月07日(Wed) 13:43 投稿者名:伊藤淳 URL:

おやじさん、こんにちは。伊藤淳です。
割り込みで失礼だと思いますが、宜しくお願いします。

> ちなみに、CodeRedは、下記のように非常に長い「N」または「?」の連続です。Nimdaはまだまだ健在ですが、
> CodeRedは、おやじサーバには2週間前に来たきりで、一時に比べほとんどありません。
>
> " GET /default.ida?NNNN・・・・・・・・・"

昨日のログに4回ありました。遡って調べたら、6月に12回、7月に17回です。
これって、アクセスを試みられたという事でしょうか?。
それとも入られたのでしょか?。


長文失礼!!

No.4500 投稿時間:2002年08月07日(Wed) 20:33 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

おやじなりの考えです。まとめてのレスご容赦を。
長文失礼!!
Nimda、CodeRedとも、HTTPDがIISで無ければ(IISでもパッチを当てていれば)
単なるゴミアクセスです。ログが汚れますが、気にしなければ無視していれば
いいと思います。
おやじはウザイので、HPのWWWサーバ(Linux)のページにも書きましたが、Nimuda、
CodeRedの特徴をパターンパッチで検出し、ログらないように設定しています。
ただ、CodeRedはうまくマッチングせず、ログってしまいます。どなたか、うまい
方法を知りませんでしょうか? 上記は、HTTPDがApacheの場合です。AN HTTPD等は、
Windowsでサーバを建てる前に試験的に利用させてもらった程度なので、どのような
方法があるか知りません。
また、Telnetで80番ポートを叩く件は、Telnet(23番)を塞いでも意味がありません。
何故なら、Telnetと叩きますが、デフォルトが23番と言うだけで、80番を指定すれば
80番でアクセスしてくるからです。つまりブラウザでのアクセスと何ら変わらず、
Telnetで80番でつないだ後、正規にGET http://・・・・とhtmlまで入力してあげれば、
WWWサーバは指定されたhtmlを返してきます。従って、外部に80番を開けている以上、
HTTPDやCGIにセキュリティホールが無いことを祈るしかないと思います。IPでの
フィルタリングは、労多くして効果がないのでおやじはやっていません。(という
おやじも、はじめのころはやっていましたが。)
なお、Telnet(23番)を塞ぐことが意味がない訳ではありませんので、誤解され
ないように。ただ、フィルタリングテーブルに書ける量にも制限が有ること、フィルタ
リングテーブルを書けば書くほど比較する処理が増え、この処理がパケット毎に行われる
ので当然スループットが落ちます。従って、おやじなら、個別に塞ぐというのではなく、
最低優先度(テーブルの最後?)で全てのポート、全てのプロトコルを塞ぎ、それより
高優先で自分が使っているポート・プロトコルだけ開けるという、フェイルセーフな
設定にします。と言うか、しています。ルータのフィルタリングは、これが基本です。
ただ、このポリシーだと、どのソフトがどのポートを使っているか意識しないと、
通信できなくなりますが、サーバを自分がしっかり管理するという意味では、是非、
この方法にされることを薦めます。なんとなくうまくいっているでは、セキュリティ
もあったものではないと思いますので。おやじも勉強の毎日です。


改めて再認識させられました。

No.4503 投稿時間:2002年08月08日(Thu) 00:53 投稿者名:ぱるぷ URL:

なるほど。やっぱりセキュリティは日々勉強ですね。
改めて再認識させられました。
アドバイス、本当にありがとうございました。


この件に関して もう1つ教えてください

No.4507 投稿時間:2002年08月08日(Thu) 09:34 投稿者名:hiro URL:

いつも 不正進入等に悩まされています。
実際 何かされているというわけでわないのですが
(実はされてたりして・・・)
そこで実際なにかされたとわかる方法は無いのでしょうか?
やっぱり LOGみて エラーだと何もされてない という程度でしょうか
でも 結構アタック(1日約20件(IP単位))が有ります
そのうちに 何か起こりそうな気がして・・・
なにか 未然に防ぐ方法は無いのでしょうか?
FTPSERVERも立ててますが、いっしょです。
(FTPは1日10件程度)
ちなみに 皆さんは、どのくらいアタックされてますか?
よろしくお願いします


IPアドレス1つ当り、自サイトと同じ程度の不正アクセスがあると考えます。

No.4586 投稿時間:2002年08月14日(Wed) 07:48 投稿者名:鷹の巣 URL:http://sakauch.com/

> でも 結構アタック(1日約20件(IP単位))が有ります
> そのうちに 何か起こりそうな気がして・・・
> なにか 未然に防ぐ方法は無いのでしょうか?
> FTPSERVERも立ててますが、いっしょです。
> (FTPは1日10件程度)
> ちなみに 皆さんは、どのくらいアタックされてますか?


CodeRed等の不正アクセスは、IPアドレスでアクセスしてきますので、アクセスの多いサイトとか少ないサイトとかに無関係にやってきます。
ですから、他のサイトもIPアドレス1つ当り、自サイトと同じ程度の不正アクセスがあると考えて間違いないと思います。
ただ、クラッキング目的であれば、その前兆として、ポートスキャンなどが実施されますので、他サイトよりもセキュリティが相対的に高ければ、
クラッキング目的のアタックは、減少すると考えて間違いないと思います。


|目次|掲示板|過去ログ目次|▲頁先頭|