• 文字サイズ変更
  • S
  • M
  • L
  • No : 3848
  • 公開日時 : 2013/05/01 14:17
  • 更新日時 : 2017/05/29 13:03
  • 印刷

アクセスログやエラーログに不審な記録が残っています。サーバーに不正なアクセスが行われているのではありませんか? (Suite2)

回答

2001年頃になり、「Code Red」や「Nimda」などのワーム(自己増殖して感染を広げるウイルスの一種)により、インターネット上の多くのサイトで頻繁に不正アクセスが試行されています。 過去の例としては、これらのワームにより不正アクセスが試行され、以下のようなログファイルが大量に記録されたことがありました。 
 
[アクセスログ]

"GET /default.ida?XXXXXXXXXX...(中略) HTTP/1.0"
"GET /default.ida?NNNNNNNNNN...(中略) HTTP/1.0"
"GET /scripts/..(中略)../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
"GET /msadc/..%255c../(中略)../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
"GET /MSADC/root.exe?/c+dir HTTP/1.0"

[エラーログ]

File does not exist: /home/default.ida
Invalid URI in request
Client sent malformed Host Header
File does not exist: /home/_vti_bin/..%5c../(中略)/winnt/system32/cmd.exe
File does not exist: /home/scripts/root.exe
File does not exist: /home/MSADC/root.exe
File does not exist: /home/c/winnt/system32/cmd.exe
File does not exist: /home/d/winnt/system32/cmd.exe

これらのワームは、Windows NT/2000用のWWWサーバープログラムである、Internet Information Server(IIS)に存在するセキュリティ上の脆弱性を利用して、サーバーに不正侵入したり、サーバー自身を感染させて、さらに感染を拡大させたりしようとします。 このようなアクセスは、アクセスもとのコンピューターから意図的に送信された可能性も否めませんが、多くの場合、アクセスもとがワームに感染しているため、自動的にアクセスされています。 
 
WebARENA SuiteXでは、OSに「Linux」、WWWサーバープログラムに「Apache」を使用しています。 「Code Red」や「Nimda」などのInternet Information Serverの脆弱性を悪用するワームにより、不正侵入されたり、 サーバー自身がワームに感染したりすることはありません。そのため、お客さまでの対策や、設定変更などは必要ありません。 
 
 
ただし、「Nimda」のように大量にアクセスするワームの場合、サーバーの負荷が高くなり、一時的にパフォーマンスが低下する場合があります。弊社では、随時サーバーを監視し、必要に応じて設定を調整し、動作を安定させるように努めています。 
 
また、WWWサーバーへ送られたリクエストURIに以下の文字列が含まれる場合、そのアクセスをワームによるアクセスとみなし アクセスログへの記録を削除するように設定されています。この設定により、通常のログが見えづらくなってしまうことを防ぎます。
 ※エラーログには、「File does not exist」等のエラーが記録される仕様になっていますので、ご了承ください。
 
/system32/cmd.exe
/MSADC/root.exe
/scripts/root.exe
/default.ida

(Suite2)

検索キーワード : 
faq3848

アンケート:ご意見をお聞かせください