投稿日:2002年12月06日 作成鷹の巣

No.6738 Apacheのエラーログを少し検証してみました



Apacheのエラーログを少し検証してみました

No.6738 投稿時間:2002年12月06日(Fri) 22:39 投稿者名:カイナン URL:http://yaguma.ath.cx

これらのことを知っている方は大勢みえると思いますが私はこれまで知りませんでした.
自分のサーバのエラーログをつらつらと見ているうちに調べたくなったのでした.
apacheのエラーログを見ると下記のようなエラーがたくさんあります.

File does not exist: /var/www/html/MSADC/root.exe
File does not exist: /var/www/html/c/winnt/system32/cmd.exe

これらはすべてNIMDA(NIMDAの由来はAdministratorを逆に読んだもの)というウィルスによるエラーです.NIMDAは下記のような攻撃をWebサーバに対して仕掛けてきます.

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

あまりに数が多いので下記のようにgrepを使ってこれらの行を消してしまいます.

$ cat error_log.2 | grep -v "winnt" >error.txt
$ cat error.txt | grep -v "root" >error.txt

すると今度はfavicon.icoとrobots.txtが目立つようになります.

File does not exist: /var/www/html/favicon.ico
File does not exist: /var/www/html/robots.txt

このfavicon.icoとrobots.txtとは何なんでしょうか?

1.favicon.ico
あるサイトを「お気に入り」に追加するとき,ブラウザはそのページのトップディレクトリにある「favicon.ico」を参照して,そのアイコンを 「お気に入り」のアイコンおよびそのショートカットアイコンにあてはめます.
要するにfavicon.icoがない場合,「e」(図示できません)が「お気に入り」のアイコンとなります.気に入ったアイコンをfavicon.icoとしてトップディレクトリにおけばそれが「お気に入り」アイコンとなります.
結局,ブラウザが http://www.yaguma.ath.cx/favicon.ico を読みこんだため,favicon.ico がトップディレクトリに存在しない場合,favicon.icoが存在しないことを示す「404・Not Found」が管理者のエラーログに記録されたというわけです.

2.robots.txt
自分のページが,検索エンジンのデータベースに登録されないようにするためのファイルです.
このファイルにロボット型検索エンジンに対する命令を記述します.ただ,この指定は強制的なものではなく,この指定を行っても検索してしまう検索エンジンはあるかもしれませんが,少なくとも,goo,Google,Lycos などは大丈夫のようです.
このエラーは結局,ロボットが http://www.yaguma.ath.cx/robots.txt を読みこんだため,robots.txtがトップディレクトリに存在しない場合,robots.txtが存在しないことを示す「404・Not Found」が管理者のエラーログに記録されたというわけです.

少し長くなりましたが以下のURLにも載せておきました.
http://yaguma.ath.cx/Server/errorlog.html

以上みなさんの少しでもお役に立てばということで


勉強させて頂きました。

No.6745 投稿時間:2002年12月07日(Sat) 08:10 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 少し長くなりましたが以下のURLにも載せておきました.
> http://yaguma.ath.cx/Server/errorlog.html
> 以上みなさんの少しでもお役に立てばということで

カイナンさん、生ログの解析ですね。勉強させて頂きました。ありがとうございました。
私もカイナンさんと同じ道を通りまして、「WWWサーバーのHTTP ログファイルの読み方」
http://sakaguch.com/HTTPlog.html
にまとめました。生ログからは、色々なことが解りますよね。


|目次|掲示板|過去ログ目次|▲頁先頭|