最近自宅にてdebianでwebサーバーを公開し始めました。
サイトは昔の部活仲間や友達内だけの小さなサイトです。
当初からapacheのaccess.logのログをみて、
さまざまな国からアクセスがあったことを知って戦々恐々としています。
自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、
sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。
ポートは80番とsshのみ開けています。telnetは消しました。
cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。
これでだいぶ国外からのアクセスが減ったのですが、
まだこのような良くわからないアクセスがaccess.logに残ります。
これらについて教えてください。
-----------------------------
74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-"
74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)"
-----------------------------
1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-"
61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-"
61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-"
-----------------------------
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu"
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu"
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu"
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu"
20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu"
-----------------------------
189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-"
95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-"
91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-"
93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-"
221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
-----------------------------
相手のIPまんまですが
一つ目の「74.7.65.34」のアメリカからのアクセスの
"\x80w\x01\x03\x01" 403 278 "-" "-"
の「\x80w\x01\x03\x01」はいったいなんですか?
二つ目の台湾からのアクセスについてわかることを教えてください。
あと自分は初心者ではっきりとはわからないのですが、
三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、
わかることを教えてください。
四つ目の5つは古いログであまり対策がとられていなかったころのものですが、
「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、
これらは悪意のあるアクセスですか。わかることを教えてください。
No.1ベストアンサー
- 回答日時:
分かる範囲で回答します。
・一つ目の「74.7.65.34」のアメリカからのアクセス
確かに変なリクエストですが、Apacheは403を返しているので心配はないと思います。403は、「リクエストが異常だからエラーにする」という意味ですので、ちゃんとエラーになっているので心配いりません。
・二つ目の台湾からのアクセス
外部のメールサーバー(25ポート)への中継を試みていますが、これも403のエラーになっているので心配ありません。中継を試みられたがサーバーが拒否した、という意味です。
・三つ目のアメリカからのアクセス
異常なアクセスですが、一番同様、403のエラーになっているので問題ありません。
・四つ目の5つは古いログ
これらは、異常なログおよび、脆弱性を狙った攻撃(最後のものは今さかんに攻撃されているApache Magicaです)ですが、いずれも心配ないと思われます。
403は前述の不正なリクエストに対するエラー、404はファイルがないとしているわけですから一番心配のないもの、501は様々ですがこの場合は「対応するメソッドは実装されていない」と思われ、攻撃としては作用していません。
インターネットにサーバーを公開している限り、攻撃が来ること自体を避けることはできません。重要なことは、「攻撃が来ても問題ない状態を保つ」ことです。
そのためには、
・ApacheやPHPを最新の状態に保つ
・サイト運営に不要なサービスは停止する
・不要なファイルを公開ディレクトリに置かない
・CGIプログラムやPHPスクリプトの脆弱性を排除する(これらがない場合は問題ありません)
などが重要です。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 統計学 偏差値と割合の関係はどのように計算すればよいか教えてください 1 2023/05/25 02:11
- C言語・C++・C# [至急]Project Euler:#18Maximum path sum Iコード、入力出力、解説 4 2022/09/24 02:49
- 大学・短大 大阪公立大学と比較できる東京の大学って何? 4 2022/12/14 08:21
- UNIX・Linux Linuxについて2つ質問したいです。 ① シェルスクリプト名をawk1.shとして、指定されたデー 1 2023/02/03 03:49
- Visual Basic(VBA) 3個のfileのセルデータを1個のfileのセルに貼り付けるVBAコードですが。 1 2023/02/20 09:21
- 中学校 中学生でこの成績は結構いいほうですか?悪いほうですか? 5 2023/05/20 16:40
- その他(映画) 私が映画館で見た映画は、下記です ①LDK2 ②千と千尋の神隠し ③私がモテてどうすんだ ④ドラえも 6 2023/04/16 12:07
- その他(映画) 私が映画館で見た映画は、下記です ①LDK2 ②千と千尋の神隠し ③私がモテてどうすんだ ④ドラえも 4 2023/04/02 17:46
- その他(映画) 私が映画館で見た映画は、下記です ※番号は見た順番です ①LDK2 ②千と千尋の神隠し ③私がモテて 2 2023/02/17 21:02
- その他(映画) 私が映画館で見た映画は、下記です ①LDK2 ②千と千尋の神隠し ③私がモテてどうすんだ ④ドラえも 3 2022/12/28 23:28
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
19インチラック設置について
-
Proxy Errorってどう対処したら...
-
筑波大学のVPN使ってる方 で外...
-
IPアドレス(数列)だけでWEBサ...
-
至急教えてください! このサイ...
-
大学で 利用ログはすべて記録さ...
-
インターナルサーバーエラーとは?
-
今まで4Gで問題なく使えていま...
-
Ciscoのアクセスリスト
-
ふるさと納税のサイトにアクセ...
-
「marunouchi.tokyo.ocn.ne.jp...
-
不正アクセス防止法違反でしょ...
-
アマゾンからの不正アクセス? ...
-
私にアクセス(access)しない...
-
プロキシサーバとDNSキャッシュ...
-
フォルダ共有「認証後の認証解除」
-
ホームページを何度もリロード...
-
javaのDBアクセス(基幹系レベ...
-
みなさんが私の立場ならどうし...
-
自作のウェブサイトを友人に見...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Proxy Errorってどう対処したら...
-
アマゾンからの不正アクセス? ...
-
IPアドレス(数列)だけでWEBサ...
-
携帯ショップ定員が氏名と電話...
-
今まで4Gで問題なく使えていま...
-
大学で 利用ログはすべて記録さ...
-
ホームページを何度もリロード...
-
筑波大学のVPN使ってる方 で外...
-
「marunouchi.tokyo.ocn.ne.jp...
-
Slackの料金体系に詳しい方教え...
-
プロキシサーバとDNSキャッシュ...
-
javaのDBアクセス(基幹系レベ...
-
Baiduspiderとは?
-
例えば、Yahoo!Japanトップペ...
-
PC閲覧不可の携帯サイトを見る...
-
グローバルIPアドレス指定のWeb...
-
至急教えてください! このサイ...
-
19インチラック設置について
-
プロバイダのログについて
-
インターナルサーバーエラーとは?
おすすめ情報