5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

この鯖ワームにやられてます

1 :DNS未登録さん:03/02/08 17:15 ID:???
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

264 :DNS未登録さん:04/03/22 21:24 ID:???
usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry

('-`).。oO(鬱陶しいことこの上ないのだが

265 :DNS未登録さん:04/03/31 12:01 ID:???
220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…

鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ

266 :DNS未登録さん:04/04/01 02:36 ID:???
ログを切り分けたいのですが上手くいかね。

SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog


アドバイスよろ。

267 :DNS未登録さん:04/04/01 04:08 ID:???
>>266
http://pc3.2ch.net/test/read.cgi/unix/1058797852/812-814
情報が分散するのは良くないよな

268 :DNS未登録さん:04/04/02 02:51 ID:???
>>267
ありがと,そっちのスレはチェックしてませんでした。

SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン

269 :267:04/04/02 04:18 ID:???
>>268
なんとな〜くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする

とか思いつつ、俺は放置してるわけだが

270 :267:04/04/02 05:36 ID:???
いい機会なんで試してみたが、分離は可能でした
結果だけ報告

271 :DNS未登録さん:04/04/02 19:16 ID:???
>>266
パイプ経由のロギングを利用するのはどうよ?

CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog

とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。

272 :DNS未登録さん:04/04/02 21:53 ID:???
267のリンク先の814だが。

Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。

あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。


273 :DNS未登録さん:04/04/03 03:17 ID:???
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。

274 :267:04/04/03 04:13 ID:???
>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか?

それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ

275 :DNS未登録さん:04/04/03 11:38 ID:???
272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。

NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>

このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。

276 :273:04/04/03 15:51 ID:???
>>274-275

大変参考になりました。

で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も

 \"%r\" → \"%m %!414U %H\"

として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。

277 :DNS未登録さん:04/04/04 02:33 ID:???
どうしよう。ログにクソクエリの跡が

278 :DNS未登録さん:04/04/05 22:05 ID:???
ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか?

279 :DNS未登録さん:04/04/06 10:08 ID:???
SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか?

280 :DNS未登録さん:04/04/06 10:14 ID:???
>>278
/dev/zeroにしてください

281 :278:04/04/06 14:51 ID:???
>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには

[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero

と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。

282 :DNS未登録さん:04/04/06 15:13 ID:???
いや、/dev/zeroはネタだろ…。

283 :DNS未登録さん:04/04/06 15:26 ID:???
/dev/shm

284 :DNS未登録さん:04/04/14 13:37 ID:???
保守

285 :sage:04/04/21 15:04 ID:2waT5kFU
誘導されてきました.
SEARCHとかのワーム攻撃を避けるために,
NGSecureWeb for Linux
http://canon-sol.jp/product/ng/index.html
とか
SRP(Secure Reverse Proxy)
http://www.gomibako.com/~umesan/srp/
とか使ってる人います?役に立ちますかね?

286 :DNS未登録さん:04/04/21 16:44 ID:???
>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。

287 :DNS未登録さん:04/04/21 16:53 ID:???
>>286
ここは自宅鯖板

で、名前にsageを入れる意味は何なんだろう

288 :DNS未登録さん:04/04/30 21:40 ID:???
自宅で鯖っつか社長の趣味で意味無く鯖立てたとか

最近のウィルスによるアクセスはその人達が原因かな

289 :DNS未登録さん:04/05/04 23:15 ID:???
最近、ワーム多すぎ。ログがこればっかり。

290 :DNS未登録さん:04/05/04 23:26 ID:???
ど、どれだ??(汗

291 :DNS未登録さん:04/05/05 13:54 ID:???
ログなんか見てネーヨ

292 :DNS未登録さん:04/05/05 14:01 ID:???
http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ワームについてのお知らせ

休み明けに注意

293 :DNS未登録さん:04/05/09 05:51 ID:???
WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。

294 :DNS未登録さん:04/06/19 01:01 ID:Jqdp5jls
緊急浮上

295 :DNS未登録さん:04/06/20 01:36 ID:???
●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●

無料のウイルス対策ソフトなどのセキュリティソフト一覧
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●

296 :DNS未登録さん:04/06/21 23:58 ID:???
感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ?

気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"


297 :DNS未登録さん:04/06/22 00:08 ID:???
>>296
messengerサービスは日本語通るよ。

298 :DNS未登録さん:04/06/25 22:10 ID:???
ほらよ。

ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。

LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined

# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null

<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@www.example.com
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>


299 :DNS未登録さん:04/06/25 22:23 ID:44W99bib
ふふーん

300 :DNS未登録さん:04/07/09 04:36 ID:csRQH/jq
age

301 :DNS未登録さん:04/07/23 16:06 ID:???
218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・

アクセスしてみたら中国のサイトみたいだけど・・・


302 :DNS未登録さん:04/07/23 20:38 ID:???
>>301
それアタックツールじゃない?
WinNTAutoAttackっていうやつ


303 :DNS未登録さん:04/07/23 22:23 ID:???
203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"

最近、こういうのが来るようになったんですけど....

304 :DNS未登録さん:04/07/24 00:20 ID:vV4StFaU
>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。

305 :DNS未登録さん:04/07/24 20:41 ID:???
Googlebotってのが怖い・・・
誰か助けて。

306 :DNS未登録さん:04/07/24 20:48 ID:???
>>305
やべーよ、それに狙われたら終わりだよ。
個人情報全部抜かれてるよ、きっと。

307 :DNS未登録さん:04/07/24 21:54 ID:???
>>305
うちなんかあえてGooglebotが来やすいように対策して
相手をはめてやろうと頑張ってるんだけど全然こないよ



orz

308 :DNS未登録さん:04/07/25 09:02 ID:JgINXHak
>>307

もしかして、昔、嘘教えられた人?

Googlebotに来て欲しいなら、robots.txt に

User-Agent: *
Disallow: /

て、書いちゃダメだよ。

人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに
来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる
と嘘を教えた人が居たから。

今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。

309 :DNS未登録さん:04/07/25 14:56 ID:???
>308
スレ違い。

# robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる
# わけじゃない。
# robots.txtは探すから。
#
# それすら来ない(accessログに残っていない)なら、、、
#
#
# まぁ、イ` とだけ言っておこう。



310 :DNS未登録さん:04/07/25 19:04 ID:OSa9+g6L
先方へのお知らせ用のテンプレートってないでしょうかか?

やられていると思われるサーバーから当方のサーバーに、
SSHで進入しようとしたログを見つけました。
国内のとある建築デザイン会社のネットワーク内からなんですが。
お知らせしてあげようかなと思うものの、
一からメール起こすのもなんだかなぁと。

311 :DNS未登録さん:04/08/01 23:30 ID:???
jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)

こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;


312 :DNS未登録さん:04/08/04 20:29 ID:???
>>311
それつい先日うちにも来た

313 :DNS更新ミスさん:04/08/16 00:04 ID:Fr/JI0uA
Virtual Host の設定例ですよん。

NameVirtualHost *

## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common

HostnameLookups On

<Directory "/web/unknown">
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common
<Directory "/web/abcdefg.com">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common
<Directory "/web/vwxyx.info">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。

あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。


314 :DNS未登録さん:04/08/16 00:11 ID:???
/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか?


315 :DNS未登録さん:04/08/16 00:29 ID:???
それがなぜかですね、
request failed: URI too long
としか書かれてない。


316 :DNS未登録さん:04/08/16 01:22 ID:???
>>313
> あとね、ログを取らないってのはやめたほうがいいと思う。
> ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
言ってる事はもっともだ
でも、最近普通のlogすらチェックしてる時間無くて…

317 :DNS未登録さん:04/08/16 02:00 ID:???
とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。


318 :DNS未登録さん:04/08/16 02:07 ID:???
っつーかこのスレ来るような奴は基本的に分かってない。

319 :DNS未登録さん:04/08/16 02:15 ID:???
>>318
ごめんなさい

320 :DNS未登録さん:04/08/23 20:30 ID:LGQaz3lx
OCNってろくに対応しないんでしたっけ?

321 :DNS未登録さん:04/08/26 20:39 ID:02qpB0nV
219.157.121.142
こんなのが・・・・・

322 :DNS未登録さん:04/08/28 10:51 ID:???
219.154.151.29
219.154.8.152
219.154.151.29
YahooBB219037248174.bbtec.net

323 :DNS未登録さん:05/02/06 01:52:04 ID:???
記念かきこんぶ
221.137.138.141
221.14.244.126

106 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)