アクセスログ

2001年頃になり、「Code Red」や「Nimda」などのワーム（自己増殖して感染を広げるウイルスの一種）によって インターネット上の多くのサイトに対し頻繁に不正アクセスが試行されています。 過去の例としては、これらのワームによって不正アクセスが試行され以下の様な内容がログファイルに大量に記録されたことがありました。

[アクセスログ]

"GET /default.ida?XXXXXXXXXX...（中略） HTTP/1.0"
"GET /default.ida?NNNNNNNNNN...（中略） HTTP/1.0"
"GET /scripts/..（中略）../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
"GET /msadc/..%255c../（中略）../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
"GET /MSADC/root.exe?/c+dir HTTP/1.0"

[エラーログ]

File does not exist: /home/default.ida
Invalid URI in request
Client sent malformed Host Header
File does not exist: /home/_vti_bin/..%5c../（中略）/winnt/system32/cmd.exe
File does not exist: /home/scripts/root.exe
File does not exist: /home/MSADC/root.exe
File does not exist: /home/c/winnt/system32/cmd.exe
File does not exist: /home/d/winnt/system32/cmd.exe

これらのワームはWindows NT/2000用のWWWサーバープログラムであるInternet Information Server(IIS)に存在するセキュリティ上の脆弱性を利用してサーバーに不正侵入を行ったり、サーバー自身を感染させてさらに感染を拡大させようとします。 この様なアクセスはアクセス元のコンピュータから意図的に送信されたものである可能性も否めませんが、 多くの場合アクセス元がワームに感染しているため、自動的にアクセスが行われています。

IT-GuardiansホスティングサービスではOSにLinux、WWWサーバープログラムにApacheを使用しておりますので、 「Code Red」や「Nimda」などのInternet Information Serverの脆弱性を悪用するワームによって不正侵入されたり、 サーバー自身がワームに感染することはありません。そのため、お客さまに対策や設定変更などを行って頂く必要はありません。

ただし、「Nimda」の様に大量のアクセスを行うワームの場合、 アクセスの量が非常に多いためサーバーの負荷が高くなり、一時的にパフォーマンスが低下してしまうことがあります。 弊社では随時サーバーを監視し、必要に応じ設定を調整して動作を安定させる様努めております。

また、WWWサーバーへ送られたリクエストURIに以下の文字列が含まれる場合、そのアクセスをワームによるアクセスとみなし アクセスログへの記録を削除するように設定されております。この設定により、通常のログが見づらくなってしまうことを防いでいます。
※エラーログには「File does not exist」等のエラーが記録されますが、こちらについては記録される仕様になっています。ご了承下さい。

• /system32/cmd.exe
• /MSADC/root.exe
• /scripts/root.exe
• /default.ida