けいすけさん、
じたんさんが言うとおりなのですが、
Nimda がはやったのは約1年前ですから、そのアクセスを見て、Nimdaの80番ポートへのアクセスなので無視するしかない、と判断するのは難しくなっているのかもしれませんね。
今後も、Nimdaを装った新たなウイルスが出てこないという保証はないので、単に無視してしまうのもいけないのかもしれません。
とりあえずは、自分にとって不審なアクセスがあったら、まずそれを調べてみる方がよいのでしょう。
今回の場合、たとえば、google (http://www.google.co.jp/) で、
/scripts/root.exe /c/winnt/system32/cmd.exe
くらいを入れて、(とりあえず日本語のページを検索で)検索してみてください。
最初に出てくるのは、
http://www.jpcert.or.jp/at/2001/at010023.txt
です。
ただし、これは 2001年9月19日づけでNimda発生直後くらいのものなので、はっきり Nimda であると書いているわけではありません。 もっとも当時の雰囲気は読み取れるので、それはそれで興味深いところです。
それやこれやで検索して出てきたものを上から2,3ながめてみると、結局のところ Nimda というウイルス(ワーム)のしわざであるとわかると思います。
今も残っていて不審なアクセスログを残しているのは困りものですが、それらのアクセス元はNimdaウイルスに感染したPCなのです。 別に「ハッカーの侵入の試み」でもなく「悪意のある不正アクセス」でもありません。
去年くらい(か、それ以前)にWindowsがインストールされたPCを購入して、そのままなにもせず使っているユーザは Nimda に感染してそのままということは大いに考えられます。
Nimda は Webサーバを使っていなくても、メールやWeb閲覧で感染するからです。
むしろ 80番ポートへの不正アクセスで感染することはまれでしょう。クライアントPCでIISを使っている人より使っていない人の方が圧倒的に多いでしょうし、意識してIISを使っている人なら Nimda の情報くらいは知っていると思えるからです。
IEにパッチもあてずにOutlookを使っているとすれば、メール経由で Nimdaに感染という方が心配です。
また、Nimda に感染した場合、80番ポートへの不正アクセスはランダムなIPアドレス宛にやみくもに送るのですが、完全にランダムではなく、似たようなIPアドレス宛が多いということも知っておいた方がよいでしょう。 たとえば、感染したPCのIPアドレスが 61.xxx.yyy.zzz だとすると、61.xyy.yzz.zxx 宛に /scripts/root.exe などのリクエストを送る、というようなことです。
したがって、今ではほとんど Nimda のアクセスがないという人もいれば、いまだに多くの不正アクセスがあるという人もいるわけです。
Nimdaに感染していても、自分ではそれがわからないことも多いと思われます。
あれだけ猛威をふるったNimdaですが、その存在すら知らない人もたくさんいます。
Nimda はアクセス元のIPアドレスは偽りませんから、正真正銘そのIPアドレスが、確実にNimdaに感染したPCのIPアドレスなのですが、IPアドレスだけではメールアドレスも連絡先もわかりません。
もちろん、APNIC や JPNIC の whois で調べて、プロバイダがわかれば、そちらにログを示して対応をお願いする、ということはできます。
だれかがそれをやってくれればありがたいのですが、自分がそこまで手間をかけるのはどうも、という人が多いのではないでしょうか。
一時に比べれば、ほとんどなくなったといえる程度ですし、特にトラフィックを圧迫するということもないので、何も害がないこともあって、無視または放置されている、というのが実情だと思います。
ただし、けいすけさんの場合は、アクセス元がプレインストールPCのコンピュータ名と思われる名前になっていますから、別の危険性があると思います。
http://doppo.no-ip.com/j-serv/win_share/win_share.htm
あたりを参考にネットワークの設定を見直したほうがよいと思います。
(あるいは、LANを組んでいるとすれば、LAN内のPCがNimda に感染している可能性もあります)
本題に戻ると、Nimda というウイルスだとわかれば、その内容を調べるにはそれをキーワードにすれば自分で調べられると思いますが、以下にいくつか参照リンクを載せておきます。
まず、IPA(情報処理振興事業協会)の解説ページ
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
で、そのページにあるリンクも役に立つと思います。
Nimdaの感染の仕組みなどの解説は、日本語でいいものがあまり見あたらず、
http://siam2help.hypermart.net/txt/Nimda.pdf
http://www.incidents.org/react/nimda.pdf
くらいかと思います。
日本語では、「検証」と称して、
http://www.atmarkit.co.jp/fwin2k/insiderseye/20010922nimda/nimda_01.html
という記事もありますが、これは2001年9月27日時点ですでに「ネットを震撼させたワーム Nimda」と、過去形で書いています。
他に、「Nimdaの系譜」として今おおはやりの Klez にも触れている、
http://pcweb.mycom.co.jp/news/2001/11/30/11.html
も参考になるでしょう。
>けいすけさん
全文検索「ニムダ」でヒットするログが参考になれば・・・。
はじめましてではないのですが、すごくお久しぶりです。
実はCGIを作成して配布するために、ANHTTPDを使用させて頂いておりますが、本日、
error_logに
22-K6MQSONNY3WE - - [07/Sep/2002:18:53:02 +0900] "GET /scripts/xxxx.exe?/c+xxx HTTP/1.0" 404 248
の様な攻撃?の様なアクセスがあったのですが、御覧の通りアクセスIPが見たことも無いものに
なっています。(他のログも同様)
どうやらNTマシンを狙ったモノの様だったので、実害は無いと思うのですが、これは
完全にIPを偽装しているものなのか、ANHTTPDを狙ったモノなのか判断できないので、
書き込ませていただきました。
アクセス中にチラッと見えたのですが、61.***.***.***の様に普通のIPアドレスに見えていました。
で、ログで確認すると以上の様に記録されていました。
以上です。自宅公開サーバはしていませんので、たまたまのアクセスだと思うので、
私には大した問題ではないのですが、アクセスを見る限りかなりの悪意を感じるモノ
でしたので、皆さんお気をつけになったほうが…。
既出でしたら、長々と申し訳ありませんでした。