- ベストアンサー
Apacheに予期せぬアクセスが
先日、自宅のマシン(OS:Win2k Professional)にApache 1.3.22をインストールしました。 サーバーとしてドメインを取得してる訳でもなく、IPを誰かに教えた訳でもないのですが、 Apacheを起動した状態でネットに繋ぐ(ダイアルアップする)と、外部からアクセスされているようなんです。 下記はその時のアクセスログとエラーログです。 210.**.**.** - - [04/Dec/2001:00:57:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" *** *** [Tue Dec 04 00:57:25 2001] [error] [client 210.**.**.**] File does not exist: c:/program files/apache group/apache/htdocs/scripts/root.exe この他にもcmd.exeを探しているようなものなど複数のアクセスがログに残ってました。 Apacheを起動しているだけで、外部から見付けられてしまう事ってあるのでしょうか? またはウィルスによって情報が流出しているのでしょうか? なぜ外部からアクセスされたのかわかりません。よい対策がありましたら教えて下さい。宜しくお願いします。
- Elvin
- お礼率91% (33/36)
- ウィルス・マルウェア
- 回答数6
- ありがとう数13
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
その他の回答 (5)
- JOYBOX
- ベストアンサー率52% (75/143)
No.2の続きです。 >ファイアウォールは入れておりません。 >実はウィルスソフトも入ってないという状態です...。 これじゃいつ侵入されるか、侵入されても気がつきませんよ! 私の知人も先月侵入されかかりました、それも2回です。 ノートンインターネットセキュリティーが侵入を遮断してくれましたので、事なきを得ましたが・・・ それから、NetBus トロイの木馬とBackdoor/SubSeven トロイの木馬はウイルスではありません、ウイルスであるトロイの木馬とは違います。 一応ウイルスソフトでも感染チェックは出来ますが、植え込まれた全てのファイルは検出されません。 ノートンインターネットセキュリティー ウイルスバスター マカフィーインターネットセキュリティー この3本のソフトはアンチウイルス+ファイアウオールの統合ソフトです。 早急に導入ですね! 万一、PCにウイルスソフトが入っていないか確認してから購入して下さい。 もし入っていれば、そのメーカーと同じメーカーの製品を購入して下さい。 2社以上のウイルスソフトが入っていると、PCの動作がおかしくなりますので・・・
お礼
そうですね。 早速何らかのソフトをインストールしてみます。 ありがとうございました!
結構、来ますよ。 ランダムなIPアドレスに対してアタックしていますから、 アタックされないようにするのは難しいですから、アタックされても 大丈夫なようにするしかないですね。 基本は、いらない機能はオフにする事。 また、使っている機能、ソフト、OSに関してはアップデートが 出ていないか、セキュリティホールが見つかっていないかを 定期的にチェックすること。 最後に、フリーのfirewallソフトでもかまいませんから、インすトールして、 必要のないサービスには外部からアクセスできないように設定しておくこと。 市販の一般用firewallソフトを使う場合にも、初期設定のままではなく 説明書などを読んで、自分の環境に合ったように設定しておきましょう。
お礼
情報ありがとうございます。 このようなアクセスは結構あるものなのですね...。 これらのアクセスは全てエラーが出ており、とりあえず 重要なファイルは見られてないようですので、 セキュリティを強化してみます。 どうもありがとうございました。
NimdaにしてもSandmindにしてもSolarisとかIISに観戦するもので、Apacheには感染しにくいのではないでしょうか?OSがWindowsということなので方法で感染している可能性はあると思いますが・・・ ちなみに、IPアドレスの210というのに心当たりがありますが、韓国のサーバからいくつかアクセスを受けた記憶があります。英語が得意なのであれば、韓国のNICから検索して、メールを投げてはどうでしょうか? #過去にメールをして、一つは宛先不明で戻って #きましたが・・・ ではでは☆
お礼
ありがとうございます。 皆様の情報によりだいぶ状況が把握出来てきました。 パターンとしては、 1:外部から無作為に検索したIPに対してアタックしている。 2:自分のマシン内にウィルスがいてIP情報等を流出している。 という感じでしょうか? もしパターン1なら自分自身のセキュリティを強化 すればかなりの対応が可能ですね。 パターン2だと困ってしまいますが....。 とりあえずウィルスソフトを早急に導入してみたいと思います。
- JOYBOX
- ベストアンサー率52% (75/143)
ファイアウオールは入れてますか? もし、入っていなければ、相性の問題が存在しますからお使いのウイルスソフトと同じメーカーのファイアウオールを導入して下さい。 以下のページを参照して下さい。 見るためには、会員登録が必要です。 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20011111/1/ ハッカーに侵入された上、NetBus トロイの木馬かBackdoor/SubSeven トロイの木馬を植え込まれた可能性があります。 もし侵入されていたとすれば、専門家でも植え付けられたファイルを完全削除するのは難しいですから、出来ればHDDを初期化して、Winからインストールし直して下さい。
お礼
ファイアウォールは入れておりません。 実はウィルスソフトも入ってないという状態です...。 何らかのウィルスによって自分の情報が流出していると なると嫌ですので、とりあえずウィルスソフトを入れて みようと思います。 どうもありがとうございます。
恐らく、Sadmindというウィルスに感染したマシンがどこかにあって、 そのウィルスに侵入されようとしているのではないでしょうか。 (参考URL) このウィルスは、しらみつぶしに数字を組み合わせて生成したIPアドレスに対して 侵入を試みる性質があるそうです。 たまたまそれに、あなたのマシンが引っかかっただけでしょう。 IISじゃなければ感染はしないと思うのですが、 セキュリティ関連のパッチ等をお忘れなく。
お礼
ありがとうございます。 とりあえず現在 Apache は起動しないようにしました。 URL参考にさせて頂きます。
お礼
情報ありがとうございました! URL参考にさせていただきます。 皆様いろいろと助言して頂いて本当に参考になりました。 どうもありがとうございました。