AN HTTPD ゲストブック/コメント集(2004年4月21日10:12)

貧弱サーバ kagacchi@catnip.freemail.ne.jp 2004/05/01 01:39

中田さん、レスありがとうございます。
そうですねぇ・・・。いや!あんなログいらないっス!(笑)
確かに寂しくなるかもしれないけど、・・・ホント迷惑ですね。

中田昭雄 nakata@st.rim.or.jp 2004/04/29 06:56

貧弱サーバさん、
そうですね、AN HTTPD では気にしなくてよいということです。

400番台のエラーを返すものについてはオプションのログの「エラーは記録しない」にチェックを入れると、httpd.log には記録しません。それはそれでログが寂しいかもしれませんが。

貧弱サーバ kagacchi@catnip.freemail.ne.jp 2004/04/28 23:01

いとさん、追記ありがとうございました。
ん〜、よくわからないけど、ターゲットがIISということで、
AN HTTPDは大丈夫と解釈してよろしいのでしょうか。

それにしても不快なログですね。CodeRedもまた然り。
今後も愛用させていただきます。
また何かありましたらよろしくお願いします。m(_ _)m

いと gfh05223@nifty.com 2004/04/26 23:36

貧弱サーバ さん

リクエストの末尾が「遂・」以外だったり、レスポンスのメッセージが英語だったりなど
多少の違いはありますが、httpd.logで ?????? になるのは基本的には同じものですね。

以下のページの説明によると W32.HLLW.Gaobot.gen というウイルスのようです。
 http://www.bayashi.net/svr/doc/apache/apachelog.html

symantecのページには以下の情報が掲載されています。
 http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.gaobot.gen.html

他に以下のページなども参考に。
 http://bird.dip.jp/mt/archives/2004/03/10/2356.html
 http://www.jpcert.or.jp/at/2003/at030003.txt
 http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

貧弱サーバ kagacchi@catnip.freemail.ne.jp 2004/04/26 11:21

いとさん、お返事ありがとうございます。
とりあえず、traceログ取ってみます。
なかなか大変ですねぇ・・・。
まだ判らないことも多いですが、頑張ります。
またよろしくお願いしますね。
W98がやっと走ってるマシンなので、スペックアップしたいです。(^^;
CGI処理が重くて重くて・・・。

いと gfh05223@nifty.com 2004/04/24 23:39

貧弱サーバさん

traceログをとって調べてみました。これより後に別のホストからあったアクセスも同じものでした。
貧弱サーバさんもtraceログを取って同じアクセスなのかどうか確認するのがいいでしょう。 

httpd.log 
220.190.136.247 - - [24/Apr/2004:15:44:06 +0900] " ?????? HTTP/1.0" 400 219 
(HTTP/ の後ろは 900, 00, 日時の一部、文字化けなど様々。 
 HTTP/900 の 900 は +0900 の一部分か? 
 1.0, 1.1以外のときはログの中のどこかを拾ってきた文字列のような感じである) 
 
errors.log 
Sat Apr 24 15:44:31 2004 Warning: Request too long for Thread 0 (ID = 3756) 
Sat Apr 24 15:44:31 2004 Error Response 400 Thread 0(ID= 3756) to 220.190.136.247 for "" 
 
trace.log 
<<< s=836: Sat Apr 24 15:44:07 2004 <<< 
SEARCH /・ の後に \xb1\x02 が 2,149 B 次に \x90\x90(瑞の文字)が 63,372 B 最後は 遂・ 全体で 65,535 B 
>>> s=836: Sat Apr 24 15:44:31 2004 >>> 
HTTP/1.1 400 Invalid 
MIME-Version: 1.0 
Server: AnWeb/1.42k 
Date: Sat, 24 Apr 2004 06:44:31 GMT 
Content-Type: text/html 
Connection: close 
Content-Length: 219 
 
<HTML><HEAD><TITLE>Error </TITLE></HEAD> 
<BODY> 
<H1>Error 400</H1> 
リクエストが正しくありません(ヘッダの終端がありません)<HR><ADDRESS><a href="http://www.st.rim.or.jp/~nakata/">AnWeb/1.42k</a></ADDRESS> 
</BODY></HTML>
httpd.log で ?????? になっているのはリクエストにバイナリを含み
解釈できないからか、あまりに長いからなどか?

Googleで検索してみると例えば以下のようなページがみつかります。
 http://mm.apache.or.jp/pipermail/apache-users/2004-April/003987.html
 http://forums.macosxhints.com/showthread.php?t=22371

WebDAVを狙ったアタックではないかと書いているところがあります。
以下の過去ログではバッファオーバーフロー攻撃と書かれてますが、詳細は不明です。
 http://homepage1.nifty.com/yito/namazu/gbook/20040401.1334.html

貧弱サーバ kagacchi@catnip.freemail.ne.jp 2004/04/21 10:12

こんにちは。httpdを利用させて頂いております。
最近妙なアクセスが増え、対策を取りたいのですが・・・。
ログにあるIPは、同じCATV網内部のもののようです。
(サイトそのものはCATV網内で知ってる人間はいないハズ)
踏み台にでもなってるのかな、と不安だったりします。
こいつはナニモノなのでしょうか?また何をしているのでしょうか?
お判りでしたら対策法お願いします。m(_ _)m

以下、ログの一部です。1時間に渡って続いてました。

[21/Apr/2004:08:42:40 +0900] " ?????? HTTP/900] " 400 219
[21/Apr/2004:08:45:45 +0900] " ?????? HTTP/900] " 400 203
[21/Apr/2004:08:46:35 +0900] " ?????? HTTP/900] " 400 219
[21/Apr/2004:08:47:32 +0900] " ?????? HTTP/900] " 400 219
[21/Apr/2004:08:48:47 +0900] " ?????? HTTP/900] " 400 203
[21/Apr/2004:08:50:52 +0900] " ?????? HTTP/900] " 400 219
[21/Apr/2004:08:53:54 +0900] " ?????? HTTP/900] " 400 219
[21/Apr/2004:08:57:32 +0900] " ?????? HTTP/900] " 400 203
[21/Apr/2004:08:58:44 +0900] " ?????? HTTP/900] " 400 219

更に、ファイルの1文字だけが下のようになっているログもあったりしました。
[21/Apr/2004:08:39:27 +0900] " ?????? HTTP/ "GET /game/soco■" 400 203

よろしくお願いします。