« MT-Blacklist 2.02aから2.04bにアップデートするには | メイン | PRiMENONがブロックしているIPアドレスを公開します »

February 06, 2005

apacheのアクセスログにNULL.printerやNULL.IDA?CCC・・・というログが残る

こんにちは。日曜どうお過ごしですか。

お休みの日は、サーバ機に ssh してぼーと httpd のログを眺めています。
リアルタイムでアクセスしてきた情報を見るのは面白いです。
root 権限で以下を実行するとあなたも見れますよ(httpd のアクセスログファイルのある場所が分かるなら)。
Redhat Linux 9 で、VirtualHost を使っていない場合の例です。

# tail -f /var/log/access_log

VirtualHost の設定で別ファイルに分けているなら以下のようにするといいかも。

# tail -f /var/log/hogehoge.com_access_log


それはおいといて、眺めていたらなんだかすばらしく怪しいアクセスログが5回にもわたって書き込まれたのでアクセスログを開いてみると以下のような足跡がついていた。

219.136.35.38 - - [06/Feb/2005:10:11:14 +0900] "GET / HTTP/1.0" 200 3619
219.136.35.38 - - [06/Feb/2005:10:11:15 +0900] "GET /NULL.printer HTTP/1.0" 404 1051
219.136.35.38 - - [06/Feb/2005:10:11:20 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC(永遠と続くので省略)

IP アドレスはどうせ皆見れるようになっていない設定(DNS のおかげ!)なだけなので、見せてしまっても問題ないだろう。
ANSI Whois Gateway で調べてみると中国と思われる。

Google に聞いてみると、このアクセスログは Microsoft の Web サーバであるところの IIS(Internet Information Service) へワーム攻撃を起こしているものと分かりました。
実際は、私のサーバは Linux なので関係ないのですが httpd 経由でアクセスするためにアクセスログは残るわけです。
ワームによって貴重な記憶容量を消費させてしてしまうのは腹だたしいのは言うまでもないです。

でも、ある程度保存しておいて IP アドレスを使って、 .htaccess で deny してしまう方法もあるので今回は access_log ではなく worm 専用のログファイルに保存することにします。

ぺこぽん情報局はじめての自宅サーバ構築を参考に、/etc/httpd/conf/httpd.conf を編集します。

# vi /etc/httpd/conf/httpd.conf

余談ですけど、こういう記述てどこにでも書いても大丈夫なんですかね?
私は、なんだかそれっぽいこと書かれているかなー?てところに書いてしまうんですが。以上余談。

以下の記述を行の一番最後に記述しました。

<IfModule mod_setenvif>
SetEnvIf Request_URI "default\.ida" worm
SetEnvIf Request_URI "null\.ida" worm
</IfModule>

次に、CustomLog が書かれているところに以下を記述します(いや、たぶんどこに書いてもいいんだろうけど)。

CustomLog /var/log/apache/access_log combined env=!worm
CustomLog /var/log/apache/worm_log combined env=worm

私が思うに、ぺこぽん情報局で書かれている方法は「通常のアクセスログとは別のワーム用アクセスログに保存する」です。
はじめての自宅サーバ構築で書かれている方法は「ワームからのアクセスはログに記述しない」です。

終わったら、2〜3回見直しておくといいかもしれません。
vi を書き込み後終わらせて(ESC を押してから ":wq")、httpd を再起動します。

# service httpd restart

これで、私の場合は /var/log/httpd/worm_log が作成されるはずです。
ワームによるアクセスが worm_log に書き込まれれば成功ですが、来るまでは分かりませんね(いや、こなくていいんだけど)。

投稿者 Kuro : February 6, 2005 11:37 AM

トラックバック

このエントリーのトラックバックURL:
http://www.kuroduction.com/blog/mt/mt-tb.cgi/411

コメント

コメントしてください




保存しますか?