新生活を充実させるための「こだわり」を取材!!

サーバーのアクセスログに以下のようなものがあります。

220.166.32.133 - - [31/Jan/2005:22:33:57 +0900] "GET http://www.microsoft.com/ HTTP/1.1" 200 30613 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)" "-"

221.200.62.75 - - [04/Mar/2005:08:08:29 +0900] "CONNECT 64.12.137.249:25 HTTP/1.1" 200 315 "-" "-" "-"

221.200.62.75 - - [04/Mar/2005:08:08:54 +0900] "GET http://www.ebay.com/ HTTP/1.1" 200 32606 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)" "-"

どちらも中国のホストからのアクセスで、最近増えている不正アクセスだと思います。

ここで疑問なのは、microsoft.comやebay.comと表示されている部分です。(これはこちらのサーバーに対するリクエストを示していると思うんですが)

他の通常のアクセスでは、
provider.ne.jp - - [日時] "GET /filename.gif HTTP/1.1" 200 471 "http://
mydomain/dirname/filename.html" "useragentname" "-"となっています。
存在しないmicrosoft.comやebay.comを要求されたら、エラーログにFile does not existなどと記録されるのではないのでしょうか?(該当日時にエラーは記録されていません)
そもそもこれは不正アクセスでしょうか?

要領を得ない質問ですが、どなたか教えて下さい。

教えて!goo グレード

A 回答 (2件)

proxyサーバを探しているんですね。

もしproxyサーバが動いて
いたら、

GET http://www.microsoft.com/ HTTP/1.1

をリクエストすればちゃんとデータが帰ってくるので、匿名proxy
として使えると判断されることになっているじゃないかな。
まぁ、踏み台探しでしょう。2行目の"64.12.137.249:25"
ってのも、aol.comのメールサーバへのアクセスがあなたの
サーバ経由で可能かどうかを試しているみたい。
だから、www.microsoft.comやwww.ebay.comじゃなくて、
www.yahoo.comとかサイトが存在していることがわかってい
るところならどこでもいいはずだけど、まぁ、有名どころだ
からね。

>該当日時にエラーは記録されていません

同じことをしたら、うちのApacheのerror.logには、

>[Fri Mar 11 17:22:35 2005] [error] [client *.*.*.*] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

って、エラーが記録されましたけど?

>そもそもこれは不正アクセスでしょうか?

port scanの一種でしょう。多分同時に、8080とか3128とか
proxyとして使われやすいポートにもアクセスしていると思
いますよ。
    • good
    • 0
この回答へのお礼

大変よくわかりました、ありがとうございました。

お礼日時:2005/03/11 18:53

基本的に#1の方が仰る通りなのですが、エラーログが残らない件については


下記をご参照下さい。

参考URL:http://sakaguch.com/PastBBS/0004/B0001891.html#N …
    • good
    • 0
この回答へのお礼

貴重な情報をありがとうございます。
大変参考になりました。

お礼日時:2005/03/11 18:59

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

教えて!goo グレード

人気Q&Aランキング