[02/07/23 12:14] ログに自マシンからのアタックのような痕跡があって心配だ

AN HTTPD ゲストブック/コメント集(2002年7月23日12:14)

こぶど yzosan@hotmail.com 2002/07/24 10:18

>Noriさん

LANでの共有は、NETBEUIを使うとよいと思います。
これは外には出てゆかないプロトコルとのことです。
やり方や仕組みの解説は、以下のURLにあります。
http://doppo.no-ip.com/j-serv/win_share/win_share.htm

Nori 非公開 2002/07/24 00:57

中田さん。
詳細な返事をどうもありがとうございます。
HTTPのヘッダに関しても、調べてみます。

解説していただいたおけげで、とりあえず落ち着きました。
たしかに、最近セキュリティ関連のWEBページばかり見てたので、必要以上にナーバスになっていたかもしれません。病気の記事ばかり読んでいるうちに、病気のことで頭がいっぱいになるのと同じかもしれませんね。・・・

とりあえず、特に問題はないとのことなのでほっとしました。

最初は、誰かに情報を読まれて意図的にやられているかと思ったので。

プロクシの件については、ご指摘のとおり、ANHTTPDのプロクシ機能をオンにしています。
「プロクシ」機能のオンとオフの長所・短所についてもお聞きしたいところですが、・・・ネットで調べてみることにします。（^^;）

とにかく、セキュリティにしても、HTTPのリクエストにしても、応用できるだけの基礎体力をつけないといけませんね。

どうもありがとうございました。

中田昭雄 nakata@st.rim.or.jp 2002/07/23 23:32

Nori さん、
もちろんこれは AN HTTPD 固有の問題ではありません。

次に、Noriさんのところに「緊急事態」が起こるというのは、あまり考えられないことです。
つまり、NoriさんのPCに侵入してもしょうがない、と言ったら失礼ですが、あまり意味があるとは思えません。
Nimdaなどのように無差別にアクセスして広がるワームは、もちろん Nori さんのところにもアクセスがあるのは当然ですが、ちゃんとしたアタックがくるのはそれなりのサイトではないかと思います。

もちろん、ちょっといたずらしてやろうと思わせるようなことを書いていれば、その限りではありません。
Nimda で「セキュリティにめざめた」り、アダルトサイトの勧誘メールを「こわい」と書いたりするのは、かえってまずいかもしれませんね。
やる方としては、やはり反応がなければ面白くないでしょうから。

そうは言っても正体がわからないと不安はあるでしょうから、その不安が払拭できるまではポート80 も閉じて（あるいはポートを変えておいて）調べてみるのがいいのではないかとも思います。

本題ですが、まず HTTPプロトコルの HEADリクエストというのが何なのか知らないと話になりません。
それは本をみるなり、インターネットで調べるなりしてください。
こういうのは「ご存知の方」に聞くのではなく、自分で調べることができるだけの力を身につけることが必要だと思います。　

次に、googleなどで "HEAD /cgi-dos" とかをキーワードに検索してみるのがよいでしょう。
それで出てくるいくつかの説明では、これは WebサーバのCGIの弱点を調べるスキャナで、かつ、アクセス元のアドレスを隠す、というようなことが書いてあります。
HEADリクエストを使うのは弱点の有無を調べる動作の効率アップのためだろうということも書いてあって、HEADリクエスト自体では何も悪いことはしません（できません）。
一通りかなり昔からのHTTPサーバのCGIのセキュリティホールの原因となるファイルの有無を調べるものでしょう。

ただ、アクセス元を偽るとしてもサーバマシンのコンピュータ名というのはちょっと不思議ですが、なんらかのプロキシ（機能）がサーバ上で動いているとすれば、あたりまえということになってしまいます。
セキュリティに気を使うあまり、何かプロキシとかゲートウェイとかのソフトを入れて動作させていませんか？
あるいは AN HTTPD のプロクシ機能をオンにしているとするとそうなる可能性もあります。
このあたりは、 Nori さんがどういうソフトを入れてどういう風に使っているか説明してもらわないと、どうにもなりません。

もちろんセキュリティ対策ソフトで、そういう穴を一通り調べるスキャナというのもありますから、それを動作させていれば当然そういうログになるでしょうが、それをやったのならさすがに自分でわかるでしょうね。。

Nori 非公開 2002/07/23 12:14

こんにちは。
また、お邪魔します。
今回、ここに書くのは、もしかすると緊急事態かもしれません。
（少しANHTTPDとは離れてしまうかもしれませんが、その場合は、その旨を連絡ください。）
昨夜、こんなログを見つけたのです。

--------------------------------------- 
XXXXXXXX - - [23/Jul/2002:00:14:08 +0900] "HEAD / HTTP/" 200 10836 
XXXXXXXX - - [23/Jul/2002:00:14:08 +0900] "HEAD /cgi-bin/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /// HTTP/1.0" 400 206 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /technote/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /iisadmpwd/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /cgi-dos/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /scripts/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /mall_log_files/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /Admin_files/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /foldoc/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /ROADS/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /way-board/ HTTP/1.0" 404 215 
XXXXXXXX - - [23/Jul/2002:00:14:09 +0900] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 215 
---------------------------------------

問題は、上記の「XXXXXXXX」ですが、これが私のサーバマシンのコンピュータ名なのです。
また、ログの中で、彼がしているらしいことも、ほかの多くのログの内容とは異なるようにみえます。

実は、今の環境でのセキュリティには、少し不安がありまして、もしかするとやばいのではないかな・・・と。
不安というのは：
●4台のPCでLANを組んで、マイクロソフトネットワーククライアントと、ファイルとプリンタの共有でワークグループを構成している。「WINS」では「LMHOSTS」と「NBT」をオンにしている（これをしないと、ワークグループの共有ができません）
●ルータでは、137-139のネットワークからのアウトを破棄していますが、このルータでは「無視する」という設定ができないためか、ポートのスキャンサービスを受けると、ぜんぶのポートが「CLOSE」（FTPだけは「STEALTH」）となってしまっている。

などです。
上記のログは、いったい何をしているところなのか、ご存知の方がいらっしゃったら教えていただけないでしょうか？