投稿日:2003年08月21日 作成鷹の巣

No.11826 サーバ攻撃を受け、accesslogの取り方等のアドバイスを頂きたい。



サーバ攻撃を受け、accesslogの取り方等のアドバイスを頂きたい。

No.11826 投稿時間:2003年08月21日(Thu) 21:47 投稿者名:demon URL:

始めまして、鬼瓦といいます。
ここ三ヶ月ですがサーバ攻撃を受け少しナーバスぎみです、皆さんの意見をお聞きできればと思い投稿しました。
毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
1日に1回の訪問ですが、数10回のアクセス/1日です。
今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
accesslogのとりかた等アドバイスが頂けたらと思っています。


対処方法。

No.11827 投稿時間:2003年08月21日(Thu) 23:44 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> 始めまして、鬼瓦といいます。
> ここ三ヶ月ですがサーバ攻撃を受け少しナーバスぎみです、皆さんの意見をお聞きできればと思い投稿しました。
> 毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
> 1日に1回の訪問ですが、数10回のアクセス/1日です。
> 今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
> accesslogのとりかた等アドバイスが頂けたらと思っています。

1.該当IPアドレス管理者にその旨を伝え何らかの処置をしてもらう
2.CGIを止める
3.外部公開を止める
4.該当IPアドレスの範囲をごっそりアクセス拒否する


うまく付き合っていきましょう。

No.11847 投稿時間:2003年08月22日(Fri) 23:06 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

私ですと、IP によるアクセスフィルタは一切かけていません。
「来るものは自ずと来る」と逆説的に考え、メンテを怠らないことが重要と考えます。


症例に対しては、

・一般的な /cgi-bin/ ディレクトリでの動作を止める
・ディレクトリ名をオリジナルに変更する
・CGI 動作のための専用ディレクトリの設置自体を止めてしまう(正規表現*を使う)

などの措置が効能的でしょうか。

ログの分岐採取は、そこらじゅうのサイトに出ていると思います。


> > 毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
> > 1日に1回の訪問ですが、数10回のアクセス/1日です。
> > 今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
> > accesslogのとりかた等アドバイスが頂けたらと思っています。


|目次|掲示板|過去ログ目次|▲頁先頭|