Re: アクセスログについて

アクセスログについて

日時： 2005/06/24 07:05
名前： shin-ka: こんにちは。いつもお世話になっております。わたしもサーバを構築し運用しているのですが、最近Apachのアクセスログで気になることがあります。毎朝root宛に届くメールに以下のような記述があります。 --------------------- httpd Begin ------------------------ A total of 5 unidentified 'other' records logged with response code(s) \x04\x01\xee\xef\xdaJ\xe9 with response code(s) 2 404 responses GET http://edit.tpe.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.shtml&login=metallica+girl&passwd=pooh HTTP/1.0 with response code(s) 2 404 responses GET http://sbc1.login.scd.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.shtml&login=metallica-7&passwd=metallica HTTP/1.0 with response code(s) 2 404 responses GET http://login.europe.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.shtml&login=metallica-7&passwd=metallica HTTP/1.0 with response code(s) 2 404 responses ---------------------- httpd End ------------------------- これは不正にアクセスされているのでしょうか？ログを見る限りyahoo.comにログインしようとしているように見えるのですが、メールで言うと踏み台？みたいな感じに利用されているのでしょうか？ご教授下さい。宜しくお願いしますm(__)m

Re: アクセスログについて ( No.1 )
日時： 2005/06/27 08:24 名前：管理者 `暫く、当方でもログを監視していたのですが、幸い？にも記録はされていませんでした。 > メールで言うと踏み台？みたいな感じに利用されているのでしょうか? 不正利用している様にも見えますが、何なんでしょうね？しかし、shin-ka様のサーバではCode 404(Not found)を返却しているので問題はなさそうですね。`
Re: アクセスログについて ( No.2 )
日時： 2005/06/27 15:08 名前： shin-ka 管理人様お返事ありがとうございます。ここ１週間ぐらいアクセスがあったようですが、昨日のログにはありませんでした。このままアクセスがなければいいのですが・・・。 >しかし、shin-ka様のサーバではCode 404(Not found)を返却しているので問題はなさそうですね。はい。404が返っているので問題ないとは思っているのですが、もし200が返された場合、私が不正にIDとパスワードを使ってログインしたようになるのではないかと心配です。今考えているのは、 ①http://ドメイン名のアクセスを禁止 ②http://www.ドメイン名のアクセスを禁止 ③ログに記録されていたアクセスもとのIPからのアクセスを禁止など考えています。 ①、②に関しては効果があるのかどうかわかりません。 ③に関しては少し手間がかかりますが、効果はあると思います。ただし、未然に防ぐという意味ではIPアドレスを変えられると防ぎようがないです。本当にこのままアクセスが無ければ良いのですが、もしまたアクセスされた際の参考にしたいのでお知恵を貸していただければ幸いです。よろしくお願いします。
Re: アクセスログについて ( No.3 )
日時： 2005/06/28 10:28 名前： Sou 　どうも。こんにちは。はじめまして、Souともうします。 >私が不正にIDとパスワードを使ってログインしたようになるのではないかと心配です。　ログを見てるとそう見えますね。一応見てもらいたいのですが、ログの中に、http://で始まるものはありますか？アクセス元のIPがあるのでしたら、nslookupやwhois等で調べて見てください。何か手がかりになるものがあるかもしれません。 -------------------------- 追記えっとですね。オープンプロキシなってる可能性が非常に高いです。僕もそうじゃないかと思っていたのですが、確信がなかったので、書かなかったのですが、確認してみた所、オープンプロキシになってる可能性が高いとおっしゃってました。ですから、早急に調べてもらいたいと思います。
Re: アクセスログについて ( No.4 )
日時： 2005/06/29 01:26 名前： shin-ka `Sou様お返事ありがとうございます。オープンプロキシという言葉は初めて聞いたので少し調べてみましたが余りよく分かりません。これは私の設定か何かが原因なのでしょうか？それともオープンプロキシが悪いのでしょうか？もう少し自分なりにも調べてみることにします。一応アクセスログを下に載せておきます。 http://www.happypeach.net/husei.txt`
Re: アクセスログについて ( No.5 )
日時： 2005/06/29 15:12 名前： Sou どもども。こんにちわ。Souですえっとですね。オープンプロキシというのは、IPを隠したい時に使われる場合が多いです。で、普通のプロキシとオープンの違いは、誰でも使えるかどうかの違いです。ですから、 shin-kaさんのパソコンのIPアドレスを使って、Yahooなどにログインをしてるということです。追記に書いたのは不十分でしたね・・・早期にネットから隔離して、調査をしてください。という意味でいったんですけども・・・伝わりにくくてすみませんでした。
Re: アクセスログについて ( No.6 )
日時： 2005/06/30 00:11 名前： shin-ka Sou様こんばんは。自分なりに調べてみたのですが，どうやら問題ないようです。 http://hnw.dip.jp/server/proxy.htmlを参考に調査しましたが、このページの通りになりました。なんだか一安心です。それにしても「オープンプロキシ」，勉強になりました。言葉さえわかりませんでしたが今は少しわかってきました。私はproxyサーバは立てていないので，proxy関係は全くわかりませんでしたが，Apacheでもモジュールとしてデフォルトで組み込まれてるんですね。それに気づいたときはちょっと焦りましたが，上のページを参考に自分でも試したところ，同じようなログが残ることが確認できたので，結果的に不正に利用されようとはしていたけど，実際はされていなかったということがわかり本当に安心しました。 Sou様のアドバイス，大変参考になりました。どうもありがとうございました。管理人様私はproxyサーバを使用していませんが，今回このようなことになりいろいろと調べた結果，proxyのチェックをしてくれるサイトを発見しました。 http://www.cybersyndrome.net/ トップページの「proxy checker」を使用すると、オープンプロキシとして使用可能になってないかなど、いろいろ調べられるみたいです。 (IPアドレス:80 とすると、Apacheがオープンプロキシとして利用されていないことがわかります) もしこの先、管理人様がこのサイトにproxyサーバについて載せることがございましたら、このページがチェックに使用できるということを記載して頂ければ、皆様のお役に立てると思います。ご検討の程、宜しくお願い致します。
Re: アクセスログについて ( No.7 )
日時： 2005/06/30 01:05 名前： Sou `こんばんわ。　よかったですね。一応Port8080で僕も試してみました（happypeach.netですが）ログが残ってるとと思うので気にしないでください（＾＾；　前回、確認のためにやろうと思ったんですが、不正アクセスと勘違いされると困るので、やめたんですが・・・。オープンプロキシになってるとちょっとやばいと思ったので確認させていただきました。`