No.11826 投稿時間:2003年08月21日(Thu) 21:47 投稿者名:demon URL:
始めまして、鬼瓦といいます。
ここ三ヶ月ですがサーバ攻撃を受け少しナーバスぎみです、皆さんの意見をお聞きできればと思い投稿しました。
毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
1日に1回の訪問ですが、数10回のアクセス/1日です。
今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
accesslogのとりかた等アドバイスが頂けたらと思っています。
No.11827 投稿時間:2003年08月21日(Thu) 23:44 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/
> 始めまして、鬼瓦といいます。
> ここ三ヶ月ですがサーバ攻撃を受け少しナーバスぎみです、皆さんの意見をお聞きできればと思い投稿しました。
> 毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
> 1日に1回の訪問ですが、数10回のアクセス/1日です。
> 今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
> accesslogのとりかた等アドバイスが頂けたらと思っています。
1.該当IPアドレス管理者にその旨を伝え何らかの処置をしてもらう
2.CGIを止める
3.外部公開を止める
4.該当IPアドレスの範囲をごっそりアクセス拒否する
No.11847 投稿時間:2003年08月22日(Fri) 23:06 投稿者名:帯鯖 URL:
帯鯖@名古屋です。
私ですと、IP によるアクセスフィルタは一切かけていません。
「来るものは自ずと来る」と逆説的に考え、メンテを怠らないことが重要と考えます。
症例に対しては、
・一般的な /cgi-bin/ ディレクトリでの動作を止める
・ディレクトリ名をオリジナルに変更する
・CGI 動作のための専用ディレクトリの設置自体を止めてしまう(正規表現*を使う)
などの措置が効能的でしょうか。
ログの分岐採取は、そこらじゅうのサイトに出ていると思います。
> > 毎日、異なったIPでサーバを訪問しcgi-bin以下に適当なファイルネームを付けてアクセスを繰り返されています。
> > 1日に1回の訪問ですが、数10回のアクセス/1日です。
> > 今のところはerrorlogに落ちていますが、実被害がでる前に何か手を打ちたいと思います。
> > accesslogのとりかた等アドバイスが頂けたらと思っています。