はじめての自宅サーバ構築 - Fedora/CentOS - Last Update 2008/11/05
It opened to 2004/09/19. Visitors
Pageviews
Today(IP/PV)		 3,586,949
14,044,101
229/911
このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。
連続IPからの不気味なアクセスログ、なんだこりゃ?
日時: 2007/01/06 17:12
名前: ももんが

いつもお世話になっています。早速ですが以下の件質問させていただきます。

AWStatsにてウェブサーバーへのアクセスログを監視していますが、下記のように同時刻に
ほぼ連続したIPからアクセスがあります。この様なログが1日に何回か記録されるのですが
これはなんなのでしょう?以前「雑談掲示板」の方でhouseさんが「田代砲」なるものに
ついて記載されていましたが、その類なのでしょうか?なんか気味が悪いので質問させて
いただきます。ご存知の方がいらっしゃいましたら回答を宜しくお願いします。ディストリは
CENTOSです。

ホスト       ページ  ヒット   バイト    最後の訪問
128.241.20.××1    14    14     581.24 Kb  2007年 1月 06日 - 12:34
128.241.20.××2    11    11     373.59 Kb  2007年 1月 06日 - 12:34
128.241.20.××3    10    10     467.90 Kb  2007年 1月 06日 - 12:34
128.241.20.××4     8     8     292.91 Kb  2007年 1月 06日 - 12:34

※IPをそのまま記載していましたが問題があるとまずいので伏字としました。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.1 )
日時: 2007/01/06 17:27
名前: 管理者

スレッド作成時の内容(現在はIPを伏せていますね)で、IP逆引きしてみると不明ですね。
故にwhoisを行っても結果が返ってきません???

通常は、同一時刻(秒)で、数十回あるパターンもあります。大抵はクローラですけど。
この場合は、apacheのアクセスログを見るとリファラやブラウザ部分に何らかの情報(URL)が追記されています。
一度、その時刻のapacheログをご覧になって見ては如何でしょうか?
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.2 )
日時: 2007/01/06 18:31
名前: ももんが

>管理人 様

回答ありがとうございます。ご指摘の通り生ログを見てみました。

結果としてAWStatsの設定で「ログを集計後データを切り詰める」という設定を
しているためか直近のログしか残っていませんでした。。。
この設定を解除して、もう少し監視してみます。生ログを見る習慣が全くなかったのですが、
これを機会にもう少しちゃんと監視してみようかと思っています。この結果については後ほど
報告させていただきます。ご指摘のようにクローラーのような気もしてきました。。。

いつも、すみませんです。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.3 )
日時: 2007/01/06 21:16
名前: ももんが

>管理人 様

お世話になっています。上でログが残っていないと記載しましたが、アーカイブとして残っていました。
12:34には274件ものログが記載されていましたが、そのうち問題のIPのログを貼り付けます。
(あまりにも数が多かったのでエクセルで並び替えをしているので多少時間は前後しています)
なんなのでしょう?なんでIPを微妙に変えてアクセスしてくるんでしょう?そんなに気にすることではないのですかね?

http://www.arin.net/tools/whois_help.html

で逆引きすると米国のNTT?みたいな感じで答えが返ってくるのですが。。。

128.241.20.×1 - - [06/Jan/2007:12:34:16 +0900] "GET /image/ HTTP/1.1" 403 208 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×2 - - [06/Jan/2007:12:34:14 +0900] "GET /calender/sche38.cgi HTTP/1.1" 200 2795 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×3 - - [06/Jan/2007:12:34:14 +0900] "GET /cgi-bin/counter.cgi?GoodsID=399&place=1 HTTP/1.1" 200 807 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×4 - - [06/Jan/2007:12:34:39 +0900] "GET /28.html HTTP/1.1" 200 75642 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×4 - - [06/Jan/2007:12:34:55 +0900] "GET /28_390.html HTTP/1.1" 200 58583 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×5 - - [06/Jan/2007:12:34:31 +0900] "GET /13.html HTTP/1.1" 200 57133 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
128.241.20.×6 - - [06/Jan/2007:12:34:10 +0900] "GET /28_399.html HTTP/1.1" 200 58570 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

※ちなみに伏字の部分は「八」なんですが。。。。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.4 )
日時: 2007/01/07 03:06
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

NTTアメリカのネットワークみたいですね。
住所もサンノゼみたいですし、もしかしたら私が行った事のあるデータセンターかもしれないです(苦笑)。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.5 )
日時: 2007/01/07 09:03
名前: 管理者

> Johannさん

こんにちは。お久しぶりにレスを見たような気がします。(嬉)
> 住所もサンノゼみたいですし、もしかしたら私が行った事のあるデータセンターかもしれないです(苦笑)。
こういう事って、たまにありますよね。
当方はアクセスログを監視しているんですが、アクセス元のIPを調べると以前仕事をした事のある企業だったりします。
当然、当時がHPを公開している事などをは話していない(あまり繋がりがないので・・)ので分かる術もないのですが。


> ももんがさん

> 12:34には274件ものログが記載されていましたが、そのうち問題のIPのログを貼り付けます。
1分以内に274件のアクセスがあったんですか?
仮にクローラーだとしても、ちょっと変ですね・・・・
大抵のクローラーは数秒おきや不定期に5〜6アクセスと思います。
ただ、中国の某検索サイトは1分以内に100程度ありますが、ももんがさんの274までは及びません。
(単純計算で1秒に5件程度のアクセスがあったと言うことですよね??)

ログもブラウジングが「Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)」と、通常のIEですね。

考えられるとすれば以下の3点でしょうか?
 1.欲しい情報なので故意的に大量取得している(ソフトウェアを使用して・・)
 2.相手のPCが何らかのウィルスに感染して、ももんがさんのHPがたまたまターゲットとなってしまった
 3.故意的にももんがさんのHPを狙ってネットワークトラフィックを発生させている。

「1」であった場合は、一時的なものなのでアクセスの推移を見れば分かると思います。
「2」「3」は、なんとも言えませんが断続的に行われている場合が多いです。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ? ( No.6 )
日時: 2007/01/07 12:35
名前: ももんが

> Johannさん

お久ぶりです。お元気そうでなによりです。
なるほどサンノゼのデータセンターなんですか。。。
googleのアクセス解析(Google Analytics)も見ているのですがこちらにHayward、Peachlandからのアクセスがあったことが記録されていました。(どちらもサンノゼから近いですね)ちょっとスッキリです。ありがとうございました。

> 管理人さん

コメントありがとうございました。説明不足ですいません。

12:34のログはIPとしては

●128.241.20.××1 〜 ××6 の6個と
●自分がアクセスした192.168.1.○○○
●219.122.182.○○○

の8個でした。ホームページに載せている写真やアイコンなどがの閲覧記録が全て12:34のログとして残っていたので合計として274件となっていました。(生ログを真面目に見たのは初めてだったので。。。)

管理人さんが考えてくれた「1」「2」「3」について考察してみました。

「1」・・・可能性としてはありますよね。WinZipというプログラムでサイト情報を持っていかれたログが残っていました。
     ただAWStatsだとブラウザの種類として「WinZip」と記録されるので今回のは違うと思う。
「2」「3」・・・充分考えられる。違う連続したIPからのアクセスが1日数回ある。なんなんだろ?

他に心あたりを考えてみると。。。

1.SEO対策で外部からのリンクを増やした
2.アフィリエイトをはじめた(LinkShareの母体がたしか米国なのでなんか関係ありそう)
3. Google JapanとGoogleの2種類のクローラーが巡回してくる。Googleの方が米国なのかな?

以上なのですが、滅茶苦茶にトラフィックを圧迫している感じでもないので、もう少し様子を見てみます。
なにかわかったらまた報告させてもらいます。

生ログの見方、勉強になりました。いつもありがとうございます。
Copyright(©)2004-2008 First home server construction. All Right Reserved.