こんなアクセスログがあったらご注意!!!UPDATE 2004.11.14


●sshで、スキャンした痕跡?and sshで不正侵入図る

Dec 9 04:22:01 sshd[25416]: scanned from 211.248.180.137 with SSH-1.0-SSH_Version_Mapper
Apr 3 07:00:24 sshd[2777]: Did not receive identification string from 202.64.115.66.
sshの外部からのポートを塞ぐことで解消します。外部から使用しない場合は、ポートを塞ぐ方が良いですね。

●2004.1 WinntAutoAttack
WindowsOSに対しての攻撃?
61.150.101.208 - - [12/Feb/2004:10:01:02 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u 0150%u0000%ue0ff%u9090=x&瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞・瑞神・瑞占・腔閤-瑞遂fクH3ノf曲エ咨ャ2トェ糶$・劔eェP(ケ)スk7_゙f冫駁劔 q撕冫ラ尸・レ恙冫ネ尸冫ス囮・゙恙冫'・・ヨ恙・゙恙冫譖劔メ恙冫ヌ劔冫劔・a呰yメ恙卷f 函劔゙恙卷f 函劔カ恙卷f 恙・「恙卷f 恙・劔劔ノヨ恙

●2003.1.25 Slammerワーム
マイクロソフトのSQL Server 2000に感染するワームで、UDP/1434ポートへの大量のトラフィックを発生させ、韓国を中心として ネットワークを麻痺させました。
実際のログです。
Jan 26 16:52:05 iplog[11644]: UDP: dgram to port 1434 from 212.xxx.xxx.xxx:4720 (376 data bytes)
このログを取るためには、iplogがインストールしてないとログが取れません。TurbolinuxWorkstation7のFTP版には、 パケットのログを取るiplogがありません、こちらに 設定を掲載してあります。

●その他の気になるログ
◆lame server on *************
 *****のDNS設定が間違っていたサーバーを示すログのようで、不正アクセスではないようです。

◆GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 299
 GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 299
 MSのSharePoint Portal Serverを利用するために、IEやオフィス2000にWebディスカッションONに してあり、そこで、サーバのDNS間違えてを入れるとこのようなログを生成するようだ。不正アタックの ようではないらしい。

◆POST /cgi-bin/formmail.pl
 POST /cgi-bin/formmail.pl
 パールで書かれたフォームメールであるが、セキュリティーホールがあり、スパムメールの踏み台にされ るおそれがあるということです。そのために、formmailがあるかどうか、確認をしたあやしいログの可能性も あり。

◆GET /robots.txt HTTP/1.0" 404 278
検索ロボットを拒否したいときには、robots.txtをサーバに置きますが、検索ロボットがこのファイルを 確認したログですね。ということは、検索ロボットが訪れたと考えても良いでしょう。

◆GET /favicon.ico HTTP/1.1" 404
 お気に入りに登録するときに、IEがアイコンを自動的に探すときのログですね。まあ、これがあると いうことは、ページをお気に入りに登録してもらったということですね。

●メールに関するログ
1 メールサーバへのアタックログログ
Feb 25 14:07:03 ikari sendmail[20788]: i1P572N20788: POSSIBLE ATTACK from 66-215-220-171.riv-eres.charterpipeline.net:
newline in string "jiwdxnhcxx^M "
○Feb 26 22:47:25 user-24-96-7-211.knology.net○Feb 28 23:45:52chello080110214144.114.11.vie.surfer.at
2 SMTP-AUTH認証により外部からメールサーバを使用してメールを送信できるシステムの有無を確認しようとした場合に出されるログ。 不正中継を試みるためのサーバチェックの可能性がある。

 ○Jan 19 11:12:01:NOQUEUE: [61.222.8.67] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
inetnum: 61.220.0.0 - 61.227.255.255
netname: HINET
descr: Data Communication Business Group, Chunghwa Telecom Co., Ltd.
country: TW


3 不正中継を試みてサーバにはねられたログ
 ○Feb 12 23:26:42 ikari sendmail[32642]: i1CEQfx32642: ruleset=check_rcpt, arg1=, relay=vtelinet-216-66-116-144.vermontel.net [216.66.116.144], reject=550 5.7.1 ... Relaying denied
Relaying deniedということなので、不正中継を拒否したログです。これは、smtp2001soho@yahoo.comのアドレスで、216.66.116.144からこちらを経由して、 wgannon@ix.netcom.comへ不正中継を試みたと思われる。

韓国と中国からの不正アクセスのログが多い。
不正中継ホストのデータベースのページでは、スパムメール発信のホストを 検索できます。
HOMEへ データベースお勉強の部屋へ ネット事件・話題へ WORMログへ 単位制高校DBへ