不正なアクセスらしいんですが意味が分かりません

サーバーのアクセスログに以下のようなものがあります。

220.166.32.133 - - [31/Jan/2005:22:33:57 +0900] "GET http://www.microsoft.com/ HTTP/1.1" 200 30613 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)" "-"

221.200.62.75 - - [04/Mar/2005:08:08:29 +0900] "CONNECT 64.12.137.249:25 HTTP/1.1" 200 315 "-" "-" "-"

221.200.62.75 - - [04/Mar/2005:08:08:54 +0900] "GET http://www.ebay.com/ HTTP/1.1" 200 32606 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)" "-"

どちらも中国のホストからのアクセスで、最近増えている不正アクセスだと思います。

ここで疑問なのは、microsoft.comやebay.comと表示されている部分です。（これはこちらのサーバーに対するリクエストを示していると思うんですが）

他の通常のアクセスでは、
provider.ne.jp - - [日時] "GET /filename.gif HTTP/1.1" 200 471 "http://
mydomain/dirname/filename.html" "useragentname" "-"となっています。
存在しないmicrosoft.comやebay.comを要求されたら、エラーログにFile does not existなどと記録されるのではないのでしょうか？（該当日時にエラーは記録されていません）
そもそもこれは不正アクセスでしょうか？

要領を得ない質問ですが、どなたか教えて下さい。

No.1 ベストアンサー 回答者： honeorizon 回答日時： 2005/03/11 17:40

proxyサーバを探しているんですね。

もしproxyサーバが動いて
いたら、

GET http://www.microsoft.com/ HTTP/1.1

をリクエストすればちゃんとデータが帰ってくるので、匿名proxy
として使えると判断されることになっているじゃないかな。
まぁ、踏み台探しでしょう。2行目の"64.12.137.249:25"
ってのも、aol.comのメールサーバへのアクセスがあなたの
サーバ経由で可能かどうかを試しているみたい。
だから、www.microsoft.comやwww.ebay.comじゃなくて、
www.yahoo.comとかサイトが存在していることがわかってい
るところならどこでもいいはずだけど、まぁ、有名どころだ
からね。

>該当日時にエラーは記録されていません

同じことをしたら、うちのApacheのerror.logには、

>[Fri Mar 11 17:22:35 2005] [error] [client *.*.*.*] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

って、エラーが記録されましたけど？

>そもそもこれは不正アクセスでしょうか？

port scanの一種でしょう。多分同時に、8080とか3128とか
proxyとして使われやすいポートにもアクセスしていると思
いますよ。

この回答へのお礼

大変よくわかりました、ありがとうございました。

お礼日時：2005/03/11 18:53

No.2 回答者： unimentai 回答日時： 2005/03/11 18:11

基本的に#1の方が仰る通りなのですが、エラーログが残らない件については

下記をご参照下さい。

参考URL：http://sakaguch.com/PastBBS/0004/B0001891.html#N …

この回答へのお礼

貴重な情報をありがとうございます。
大変参考になりました。

お礼日時：2005/03/11 18:59