不正アクセスログについて

はじめまして、こんにちは。
最近、個人情報が流出した話をよく聞くので、不正アクセスログを調べようと思ったのですが、どうやって調べたらいいのか恥ずかしながら、わかりません。分かる方がいれば教えてください。
なおWEBサーバーにはApach,Tomcatを導入していて、OSはWindows2000です。
また、開いているポートの調べ方、閉じ方が分かればこちらも教えてください。
よろしくお願いします。

No.2 ベストアンサー 回答者： Pesuko 回答日時： 2005/07/30 22:42

お勧めはＢｌａｃｋＩＣＥを導入する事です。

現在わかっているアタックの前兆を察知し、事前にアクセス拒否を発動してくれます。

アタックをかけてくるＰＣのＤＮＳ・ＩＰアドレス・ワークグループ・Ｎｅｔｂｉｏｓ・ＮＩＣコード・ＰＣの名前・アタックの方法と内容などＬＯＧに残ります。

必要なポート番号を指定して開ける、それ以外は全部閉める等
非常にわかりやすい方法でポートの指定が出来ます。

サーバー用のほうがサーバーには使いやすいですが、クライアント型でも使用できます。
http://arena.nikkeibp.co.jp/rev/soft/20030623/10 …
http://www.blackice.jp/

この回答への補足

ご返事ありがとうございます。
できればそのようなソフトを使わないで、DOS等でポートの確認や閉じたり等の設定をしたいのですが、それはできないのでしょうか？

補足日時：2005/07/30 23:25

No.3 回答者： info22 回答日時： 2005/07/31 00:39

>できればそのようなソフトを使わないで、DOS等でポートの確認や閉じたり等の設定をしたいのですが、それはできないのでしょうか？

サービスソフトのあるソフトのポートは無効にはできますが、玄関の錠前に鍵をかけてもその鍵が何処にでもある鍵だったら、空き巣なら誰でも空けられるのなら、鍵をかける意味がないですね。その位簡単で誰にでも知れ渡っている方法ならポートを閉じて置けますが、直ぐ侵入されて解除されてしまうそんなポートの閉じ方でもいいのですか？　ポートの会計の仕方も、一軒一軒ドアを叩いてあいているかどうかを調べることを手作業でするようなことをしたいのですか。サービスポートの数は約12万以上あります。攻撃可能なIPアドレス数も約43億存在します。こういった莫大なポートやIPアドレスからの攻撃を１つ１つ手作業（DOSコマンドで対処）したいのですか？　開いているポートが１つだけで1つだけを監視するならできます。侵入者のIPアドレスが分かっていれば対応できるかもしてませんが、不特定多数に対してDOSコマンドだけで対応するのが不可能です。DOSコマンドには効率的に防御するためのコマンドがないために、色々なセキュリティソフトが作られ市販されたり、提供されているわけです。

それでもポートを閉じたければ、ウェルノウンポートについてだけですが、「services」というファイルの中の無効にしたいポート（サービス）の行の先頭に「#」をつけることです。

ちなみに、有償、無償のファイアウオールソフトはservicesによるポートの有効/無効設定機能を全て無効にして、独自にポート開閉ソフトを入れなおしています。
servicesによる方法は簡単に解除できる方法だからで鍵としての効果は攻撃者に対して殆どないと言うことです。

私としては、#1,#2の回答で提案されているような、既存のファイアウオールソフトやセキュリティソフトを使われることをお勧めします。
DOSコマンドは補助的につかう位の使い方しかできないと思いますね。

私も10年以上色々なOS（HP-UX/Solaris/各種Linux/Windowsなど）上でWEBサーバーを立ち上げ運用して来た攻撃者と戦ってきた経験からの意見です。現在はWindowsXP Pro SP2　2台で「An httpd」を使ってWEBサーバを運用しています。

No.1 回答者： info22 回答日時： 2005/07/30 21:20

>WEBサーバーにはApach

Apachにアクセスログがあると思いますのでそのログを調べてください。

頻繁に連続してくるアクセス先チェックして、IPアドレスをWhoisなどで調べてください。不審な外国等のアクセス先は、ファイアウオールで遮断します。

Windowsマシンですので、NortonInternetSecurity2005か,
ウイルスバスター2005などでウイルス対策や、ファイアウオールを導入して、自動更新(自動ダウンhロード、自動インストール）をされた方がいいかと思います。
不審サイトや不審ポートへのアクセスはパーソナルファイアウオールで遮断します。

>開いているポートの調べ方、閉じ方が分かればこちらも教えてください。
閉じ方は上記ソフトのパーソナルファイアウオールで閉じることができます。

ポートが開いているかどうかは、http://www.symantec.com/region/jp/products/nis/
のSecurityCheckをして下さい。赤の×が出た場合やサーバーポート以外でステルスになっていないポートは閉じるようにしてください。

任意のポートの開閉（UDP/TCP）を調べるソフトに以下のソフトがあります。Win2000/XPでも動作します。
http://www.vector.co.jp/soft/win95/net/se078518. …
このソフトを他のWinPCにインストールして上記サーバーを「サービス検索」機能を使ってポートスキャンして開いているポートが調べられます。ポートスキャンは攻撃にもなりますので、ポートスキャンする対象のパソコンやサーバーの管理者の了承の下で行ってください。
UDPポートの範囲を指定してのポートスキャンやTCPポートの範囲を指定してのポートスキャンをかけて開放ポートやバックドアのポートを調べて、使わないポートはパーソナルファイアウオールで閉じます。

この回答への補足

ご返事ありがとうございます。
できればそのようなソフトを使わないで、DOS等でポートの確認や閉じたり等の設定をしたいのですが、それはできないのでしょうか？

補足日時：2005/07/30 23:27