- ベストアンサー
不正アクセス?
こんにちは! 常時接続でLinux のsquidを使用しているのですが、 squidのaccess.logにローカルアドレスでないIP アドレス(自分が使用していない)が残ります。 IPアドレスは毎回異なっていて、 "GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE" みたいな感じでログが残ります。 外部のIPアドレスでsquidは利用出来ない設定にしているのですが、 これって不正アクセスされているのでしょうか?
- toshi_1919
- お礼率82% (98/119)
- その他(OS)
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
rhlです。 やっぱりそうでしたか。あれはnimdaが感染を広げるためにHTTPリクエスト に不正なコードを含めてアクセスしてきてコマンドを実行しようとしてる 形跡です。 windowsのcmd.exeをフルパスで指定してきてるので当然LINUXには存在しない ディレクトリなので基本的には問題ないです。 気になるのは >外部のIPアドレスでsquidは利用出来ない設定にしているのですが というところですね。 ローカル以外は一切遮断しているということですよね? それはサーバ側でですか?それともルータのフィルタリングも併用されて いるのですか? ルータのNATなどで外部からアクセスできるようにしてあるならば起こり 得ると思いますけどね。 IPアドレスが毎回違うのはいろんな感染サーバからアクセスしてきてるから です。 WEBサーバをたてると分かるかと思いますがnimda、coderedなどのアクセス が非常に多いのが分かると思います。
その他の回答 (2)
- kusukusu
- ベストアンサー率38% (141/363)
>これがsquidのaccess.logに外部IPアドレスで残ると >いう事はどういう事なのでしょうか? nimdaは、相手のサーバーのOSを特定して攻撃するのではなく、Linuxサーバーに攻撃を仕掛けてnimdaは、 「あーだ、こーだ」やってみたが、結局何も出来ませんでした・・・・と帰っていくはずです。 だから、気にしなくてもいいでしょう。 しかし、そのIPアドレスはnimdaに汚染されている可能性が 高いです。 そこで、相手の管理者に教えてあげるくらいはしたら、いいかもしれませんね。 >ウイルス対策はサーバー&クライアントともまめに >やっています。 素晴らしい! これからも継続してください。
お礼
ありがとうございます。 安心しました。 自分のサーバーが踏み台になり、第3者を攻撃して いるのかと不安になりました。
- rhl
- ベストアンサー率37% (42/111)
>GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE これってあの悪名だかきnimdaが残すログじゃないでしょうか? 確かこんな感じだったような・・・。 この後にも "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 273 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283 "GET /scripts/<中略>/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 こんな感じのが続いてませんか? 違ったらすいません。 違ったらごめんなさい。
お礼
ありがとうございます。 まさにそのメッセージです。 これがsquidのaccess.logに外部IPアドレスで残ると いう事はどういう事なのでしょうか? ウイルス対策はサーバー&クライアントともまめに やっています。
お礼
ありがとうございます。 プロキシでしか利用していなかったので、 squidでの設定でローカルアドレス以外を遮断としか しておらず、パケットフィルタリング(iptables)の inputは全開にしていました。 怖くなりさっそく閉めました。