このスレッドはクローズされています。記事の閲覧のみとなります。

連続IPからの不気味なアクセスログ、なんだこりゃ？

日時： 2007/01/06 17:12 名前： ももんが いつもお世話になっています。早速ですが以下の件質問させていただきます。 AWStatsにてウェブサーバーへのアクセスログを監視していますが、下記のように同時刻に ほぼ連続したIPからアクセスがあります。この様なログが1日に何回か記録されるのですが これはなんなのでしょう？以前「雑談掲示板」の方でhouseさんが「田代砲」なるものに ついて記載されていましたが、その類なのでしょうか？なんか気味が悪いので質問させて いただきます。ご存知の方がいらっしゃいましたら回答を宜しくお願いします。ディストリは CENTOSです。 ホスト       ページ  ヒット   バイト    最後の訪問 128.241.20.××1    14    14     581.24 Kb  2007年 1月 06日 - 12:34 128.241.20.××2    11    11     373.59 Kb  2007年 1月 06日 - 12:34 128.241.20.××3    10    10     467.90 Kb  2007年 1月 06日 - 12:34 128.241.20.××4     8     8     292.91 Kb  2007年 1月 06日 - 12:34 ※IPをそのまま記載していましたが問題があるとまずいので伏字としました。

Page:  [1] [2]

■ コンテンツ関連情報

Re: 連続IPからの不気味なアクセスログ、なんだこりゃ？ ( No.1 )
日時： 2007/01/06 17:27 名前： 管理者 スレッド作成時の内容(現在はIPを伏せていますね)で、IP逆引きしてみると不明ですね。 故にwhoisを行っても結果が返ってきません？？？ 通常は、同一時刻(秒)で、数十回あるパターンもあります。大抵はクローラですけど。 この場合は、apacheのアクセスログを見るとリファラやブラウザ部分に何らかの情報(URL)が追記されています。 一度、その時刻のapacheログをご覧になって見ては如何でしょうか？
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ？ ( No.2 )
日時： 2007/01/06 18:31 名前： ももんが >管理人 様 回答ありがとうございます。ご指摘の通り生ログを見てみました。 結果としてAWStatsの設定で「ログを集計後データを切り詰める」という設定を しているためか直近のログしか残っていませんでした。。。 この設定を解除して、もう少し監視してみます。生ログを見る習慣が全くなかったのですが、 これを機会にもう少しちゃんと監視してみようかと思っています。この結果については後ほど 報告させていただきます。ご指摘のようにクローラーのような気もしてきました。。。 いつも、すみませんです。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ？ ( No.3 )
日時： 2007/01/06 21:16 名前： ももんが >管理人 様 お世話になっています。上でログが残っていないと記載しましたが、アーカイブとして残っていました。 12:34には274件ものログが記載されていましたが、そのうち問題のIPのログを貼り付けます。 （あまりにも数が多かったのでエクセルで並び替えをしているので多少時間は前後しています） なんなのでしょう？なんでIPを微妙に変えてアクセスしてくるんでしょう？そんなに気にすることではないのですかね？ http://www.arin.net/tools/whois_help.html で逆引きすると米国のNTT？みたいな感じで答えが返ってくるのですが。。。 128.241.20.×1 - - [06/Jan/2007:12:34:16 +0900] "GET /image/ HTTP/1.1" 403 208 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×2 - - [06/Jan/2007:12:34:14 +0900] "GET /calender/sche38.cgi HTTP/1.1" 200 2795 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×3 - - [06/Jan/2007:12:34:14 +0900] "GET /cgi-bin/counter.cgi?GoodsID=399&place=1 HTTP/1.1" 200 807 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×4 - - [06/Jan/2007:12:34:39 +0900] "GET /28.html HTTP/1.1" 200 75642 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×4 - - [06/Jan/2007:12:34:55 +0900] "GET /28_390.html HTTP/1.1" 200 58583 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×5 - - [06/Jan/2007:12:34:31 +0900] "GET /13.html HTTP/1.1" 200 57133 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 128.241.20.×6 - - [06/Jan/2007:12:34:10 +0900] "GET /28_399.html HTTP/1.1" 200 58570 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" ※ちなみに伏字の部分は「八」なんですが。。。。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ？ ( No.4 )
日時： 2007/01/07 03:06 名前： Johann 参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html NTTアメリカのネットワークみたいですね。 住所もサンノゼみたいですし、もしかしたら私が行った事のあるデータセンターかもしれないです（苦笑）。
Re: 連続IPからの不気味なアクセスログ、なんだこりゃ？ ( No.5 )
日時： 2007/01/07 09:03 名前： 管理者 ＞ Johannさん こんにちは。お久しぶりにレスを見たような気がします。(嬉) > 住所もサンノゼみたいですし、もしかしたら私が行った事のあるデータセンターかもしれないです（苦笑）。 こういう事って、たまにありますよね。 当方はアクセスログを監視しているんですが、アクセス元のIPを調べると以前仕事をした事のある企業だったりします。 当然、当時がHPを公開している事などをは話していない(あまり繋がりがないので・・)ので分かる術もないのですが。 ＞ ももんがさん > 12:34には274件ものログが記載されていましたが、そのうち問題のIPのログを貼り付けます。 1分以内に274件のアクセスがあったんですか？ 仮にクローラーだとしても、ちょっと変ですね・・・・ 大抵のクローラーは数秒おきや不定期に5〜6アクセスと思います。 ただ、中国の某検索サイトは1分以内に100程度ありますが、ももんがさんの274までは及びません。 (単純計算で1秒に5件程度のアクセスがあったと言うことですよね？？) ログもブラウジングが「Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)」と、通常のIEですね。 考えられるとすれば以下の3点でしょうか？  1．欲しい情報なので故意的に大量取得している(ソフトウェアを使用して・・)  2．相手のPCが何らかのウィルスに感染して、ももんがさんのHPがたまたまターゲットとなってしまった  3．故意的にももんがさんのHPを狙ってネットワークトラフィックを発生させている。 「1」であった場合は、一時的なものなのでアクセスの推移を見れば分かると思います。 「2」「3」は、なんとも言えませんが断続的に行われている場合が多いです。

Page:  [1] [2]

■ その他