投稿日:2004年04月21日 作成鷹の巣

No.15733 ワームが残すアクセスログ例とWebサーバーの設定例。



ワームが残すアクセスログ例とWebサーバーの設定例。

No.15733 投稿時間:2004年04月21日(Wed) 17:21 投稿者名:鯛(たい) URL:

◆ワームが残すアクセスログのサンプル
[Last Update:2004/03/31 15:10ハ
=====================================================================================================================================================
■Code Blue
*.*.*.*.* - - [08/Mar/2002:22:41:45 +0900ハ "GET /.. [Encoded charactersハ ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"

=====================================================================================================================================================
■Code Red I
*.*.*.*.* - - [08/Mar/2002:22:41:45 +0900ハ "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 326 "-" "-"
=====================================================================================================================================================
■Code Red II
*.*.*.*.* - - [08/Mar/2002:22:41:45 +0900ハ "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 326 "-" "-"
=====================================================================================================================================================
■Nimda
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1558 "-" "-"

=====================================================================================================================================================
■Welchia
*.*.*.* - - [18/Aug/2003:11:48:55 +0900ハ "GET / HTTP/1.1" 200 210 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

=====================================================================================================================================================
■Microsoft Windows Mediaサービスのリモート・バッファ・オーバーフローの脆弱性をねらった攻撃
nsiislog.dllを含むURI

=====================================================================================================================================================
■Anhttpdのバグを付いた攻撃
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "\x04\x01" 501 - "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "\x05\x01" 501 - "-" "-"
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "CONNECT 65.54.252.99:25 HTTP/1.1" 405 316 "-" "-"


=====================================================================================================================================================
■WebDAVの脆弱性をねらった攻撃(IIS攻撃ツールもしくはW32.HLLW.Gaobot.gen)
*.*.*.* - - [08/Mar/2002:22:18:41 +0900ハ "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x15 HTTP/1.1" 414 158 "-" "-"
※ステータスコード414とは?
リクエストURIが長いため拒否をしたことを示します。

ちなみにこいつログの振り分けが出来ません。
これはログの記録処理振り分けよりURI_TO_LONGエラーによる
ログ記録の方が優先順位が高いためだそうです。
なのでネームベースバーチャルホストでログを分けてしまうなどの方法を取らざる得ません。

=====================================================================================================================================================
*.*.*.*にはグローバルIPアドレスかホスト名が入ります。

=====================================================================================================================================================
◆これらをログに記録しない方法
以下はサンプルです。
環境に応じて修正してご利用ください。
#worm分離の設定
#Code Red/Code Blue/Nimdaの分離設定
SetEnvIf Request_URI "^/_mem_bin/" object-is-worm
SetEnvIf Request_URI "^/_vti_bin/" object-is-worm
SetEnvIf Request_URI "^/c/" object-is-worm
SetEnvIf Request_URI "^/d/" object-is-worm
SetEnvIf Request_URI "^/msadc/" object-is-worm
SetEnvIf Request_URI "^/MSADC/" object-is-worm
SetEnvIf Request_URI "^/scripts/" object-is-worm
SetEnvIf Request_URI "NULL\.IDA" object-is-worm
SetEnvIf Request_URI "default\.ida" object-is-worm
SetEnvIf Request_URI "root\.exe" object-is-worm
SetEnvIf Request_URI "cmd\.exe" object-is-worm
SetEnvIf Request_URI "Admin\.dll" object-is-worm

#Welchiaの分離設定
#Welchiaは一般ブラウザーと
#同じアクセス方法のため正規アクセスまで記録しないことがあります。
#※UserAgentに(compatible; MSIE 5.5; Windows 98)を含むものは記録されない。
SetEnvIf User-Agent "(compatible; MSIE 5.5; Windows 98)" object-is-worm

#gif/jpg/jpeg/pngこれら画像ファイルへのアクセスもログに記録しない。
SetEnvIf Request_URI "\.(gif)|(jpg)|(jpeg)|(png)$" object-is-worm

CustomLog logs/access_log common env=!object-is-worm

=====================================================================================================================================================
■ワームのログはワーム用ログに記録を取る
以下はサンプルです。
環境に応じて修正してご利用ください。
#worm分離の設定
#Code Red/Code Blue/Nimdaの分離設定
SetEnvIf Request_URI "^/_mem_bin/" worm object-is-worm
SetEnvIf Request_URI "^/_vti_bin/" worm object-is-worm
SetEnvIf Request_URI "^/c/" worm object-is-worm
SetEnvIf Request_URI "^/d/" worm object-is-worm
SetEnvIf Request_URI "^/msadc/" worm object-is-worm
SetEnvIf Request_URI "^/MSADC/" worm object-is-worm
SetEnvIf Request_URI "^/scripts/" worm object-is-worm
SetEnvIf Request_URI "NULL\.IDA" worm object-is-worm
SetEnvIf Request_URI "default\.ida" worm object-is-worm
SetEnvIf Request_URI "root\.exe" worm object-is-worm
SetEnvIf Request_URI "cmd\.exe" worm object-is-worm
SetEnvIf Request_URI "Admin\.dll" worm object-is-worm

#Welchiaの分離設定
#Welchiaは一般ブラウザーと
#同じアクセス方法のため正規アクセスまで記録しないことがあります。
#※UserAgentに(compatible; MSIE 5.5; Windows 98)を含むものは記録されない。
SetEnvIf User-Agent "(compatible; MSIE 5.5; Windows 98)" worm object-is-worm

#gif/jpg/jpeg/pngこれら画像ファイルへのアクセスもログに記録しない。
SetEnvIf Request_URI "\.(gif)|(jpg)|(jpeg)|(png)$" object-is-worm

CustomLog logs/access_log common env=!object-is-worm
CustomLog logs/worm_access_log common env=worm

皆様は、ワームのログがあった場合、特に対策はとられているのでしょうか?


httpd(apache)の場合、ワームのログで肥大化しませんか?

No.15736 投稿時間:2004年04月21日(Wed) 17:35 投稿者名:stranger URL:

> > 皆様は、ワームのログがあった場合、特に対策はとられているのでしょうか?

httpd(apache)の場合、error_logのレベルをデフォルトから変えないとワームのログで
肥大化しませんか?


とくに対策していません。

No.15738 投稿時間:2004年04月21日(Wed) 18:24 投稿者名:店主のピチュー URL:http://tenpichu.no-ip.com/

> 皆様は、ワームのログがあった場合、特に対策はとられているのでしょうか?
とくに対策していません。
やはり対策したほうがいいのでしょうか?


面倒なのでネームベースバーチャルホストで根こそぎ分離した方が速いかも。

No.15744 投稿時間:2004年04月22日(Thu) 05:02 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/worm.txt

別にコピペせんでもイイと思うんだが。

> > 皆様は、ワームのログがあった場合、特に対策はとられているのでしょうか?
> とくに対策していません。
> やはり対策したほうがいいのでしょうか?

面倒なのでネームベースバーチャルホストで根こそぎ分離した方が速いかも
※ワームがHTTP_HOSTを送らない事を利用


|目次|掲示板|過去ログ目次|▲頁先頭|