Apacheに予期せぬアクセスが

先日、自宅のマシン(OS:Win2k Professional)にApache 1.3.22をインストールしました。
サーバーとしてドメインを取得してる訳でもなく、IPを誰かに教えた訳でもないのですが、
Apacheを起動した状態でネットに繋ぐ(ダイアルアップする)と、外部からアクセスされているようなんです。
下記はその時のアクセスログとエラーログです。

210.**.**.** - - [04/Dec/2001:00:57:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" *** ***

[Tue Dec 04 00:57:25 2001] [error] [client 210.**.**.**] File does not exist: c:/program files/apache group/apache/htdocs/scripts/root.exe

この他にもcmd.exeを探しているようなものなど複数のアクセスがログに残ってました。
Apacheを起動しているだけで、外部から見付けられてしまう事ってあるのでしょうか？
またはウィルスによって情報が流出しているのでしょうか？
なぜ外部からアクセスされたのかわかりません。よい対策がありましたら教えて下さい。宜しくお願いします。

No.6 ベストアンサー 回答者： noname#5179 回答日時： 2002/01/06 17:18

以下にコメントされている１の事例と考えられます。

２ではないと思います。

firewallでも、防げない行動って結構沢山あります。特に新しい
セキュリティホールやウイルスの場合は、ソフトの対応が後手に
回る事が多いので、firewall,ウイルスソフトを過信されないように
おねがいします。

windows2000なら、基本は、windowsupdateですが、完全を期する為に以下の
ツールでセキュリティホールがないかチェックされておくことを薦めます。
http://www.microsoft.com/japan/technet/security/ …
普通の環境の人なら確実に数個は見つかります。見つかったら、windows
のホームページからセキュリティのアップデートを手に入れましょう。

apacheなら設定さえきっちりやれば、比較的アタックに対して安全と
思われます。

そうそう、joyboxさんの言われている侵入ですが、多分IISを狙った
nimdaと思いますよ。IISを使ってければアタックされても大丈夫と
思いますが、そういったソフトは、そのソフトがあったからこそ防げた
みたいなレポートを表示をしますよね。

この回答へのお礼

情報ありがとうございました！
ＵＲＬ参考にさせていただきます。
皆様いろいろと助言して頂いて本当に参考になりました。
どうもありがとうございました。

お礼日時：2002/01/08 00:14

No.5 回答者： JOYBOX 回答日時： 2002/01/06 11:07

No.2の続きです。

＞ファイアウォールは入れておりません。
＞実はウィルスソフトも入ってないという状態です...。

これじゃいつ侵入されるか、侵入されても気がつきませんよ！
私の知人も先月侵入されかかりました、それも２回です。
ノートンインターネットセキュリティーが侵入を遮断してくれましたので、事なきを得ましたが・・・

それから、NetBus トロイの木馬とBackdoor/SubSeven トロイの木馬はウイルスではありません、ウイルスであるトロイの木馬とは違います。

一応ウイルスソフトでも感染チェックは出来ますが、植え込まれた全てのファイルは検出されません。

ノートンインターネットセキュリティー
ウイルスバスター
マカフィーインターネットセキュリティー

この３本のソフトはアンチウイルス＋ファイアウオールの統合ソフトです。

早急に導入ですね！
万一、ＰＣにウイルスソフトが入っていないか確認してから購入して下さい。
もし入っていれば、そのメーカーと同じメーカーの製品を購入して下さい。
２社以上のウイルスソフトが入っていると、ＰＣの動作がおかしくなりますので・・・

この回答へのお礼

そうですね。
早速何らかのソフトをインストールしてみます。
ありがとうございました！

お礼日時：2002/01/08 00:12

No.4 回答者： noname#5179 回答日時： 2002/01/05 23:53

結構、来ますよ。

ランダムなIPアドレスに対してアタックしていますから、
アタックされないようにするのは難しいですから、アタックされても
大丈夫なようにするしかないですね。

基本は、いらない機能はオフにする事。
また、使っている機能、ソフト、OSに関してはアップデートが
出ていないか、セキュリティホールが見つかっていないかを
定期的にチェックすること。
最後に、フリーのfirewallソフトでもかまいませんから、インすトールして、
必要のないサービスには外部からアクセスできないように設定しておくこと。

市販の一般用firewallソフトを使う場合にも、初期設定のままではなく
説明書などを読んで、自分の環境に合ったように設定しておきましょう。

この回答へのお礼

情報ありがとうございます。
このようなアクセスは結構あるものなのですね...。
これらのアクセスは全てエラーが出ており、とりあえず
重要なファイルは見られてないようですので、
セキュリティを強化してみます。
どうもありがとうございました。

お礼日時：2002/01/06 10:20

No.3 回答者： noname#9414 回答日時： 2002/01/05 23:34

NimdaにしてもSandmindにしてもSolarisとかIISに観戦するもので、Apacheには感染しにくいのではないでしょうか？OSがWindowsということなので方法で感染している可能性はあると思いますが・・・

ちなみに、IPアドレスの210というのに心当たりがありますが、韓国のサーバからいくつかアクセスを受けた記憶があります。英語が得意なのであれば、韓国のNICから検索して、メールを投げてはどうでしょうか？
＃過去にメールをして、一つは宛先不明で戻って
＃きましたが・・・

ではでは☆

この回答へのお礼

ありがとうございます。
皆様の情報によりだいぶ状況が把握出来てきました。
パターンとしては、

１：外部から無作為に検索したIPに対してアタックしている。
２：自分のマシン内にウィルスがいてIP情報等を流出している。

という感じでしょうか？
もしパターン１なら自分自身のセキュリティを強化
すればかなりの対応が可能ですね。
パターン２だと困ってしまいますが....。
とりあえずウィルスソフトを早急に導入してみたいと思います。

お礼日時：2002/01/06 10:16

No.2 回答者： JOYBOX 回答日時： 2002/01/05 23:10

ファイアウオールは入れてますか？

もし、入っていなければ、相性の問題が存在しますからお使いのウイルスソフトと同じメーカーのファイアウオールを導入して下さい。

以下のページを参照して下さい。
見るためには、会員登録が必要です。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2001 …

ハッカーに侵入された上、NetBus トロイの木馬かBackdoor/SubSeven トロイの木馬を植え込まれた可能性があります。

もし侵入されていたとすれば、専門家でも植え付けられたファイルを完全削除するのは難しいですから、出来ればＨＤＤを初期化して、Winからインストールし直して下さい。

この回答へのお礼

ファイアウォールは入れておりません。
実はウィルスソフトも入ってないという状態です...。

何らかのウィルスによって自分の情報が流出していると
なると嫌ですので、とりあえずウィルスソフトを入れて
みようと思います。

どうもありがとうございます。

お礼日時：2002/01/06 10:08

No.1 回答者： kumataro_ 回答日時： 2002/01/05 19:27

恐らく、Sadmindというウィルスに感染したマシンがどこかにあって、

そのウィルスに侵入されようとしているのではないでしょうか。
（参考URL）

このウィルスは、しらみつぶしに数字を組み合わせて生成したIPアドレスに対して
侵入を試みる性質があるそうです。
たまたまそれに、あなたのマシンが引っかかっただけでしょう。

IISじゃなければ感染はしないと思うのですが、
セキュリティ関連のパッチ等をお忘れなく。

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答へのお礼

ありがとうございます。
とりあえず現在 Apache は起動しないようにしました。
URL参考にさせて頂きます。

お礼日時：2002/01/06 10:05