こんにちは!

常時接続でLinux のsquidを使用しているのですが、
squidのaccess.logにローカルアドレスでないIP
アドレス(自分が使用していない)が残ります。
IPアドレスは毎回異なっていて、
"GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE"
みたいな感じでログが残ります。
外部のIPアドレスでsquidは利用出来ない設定にしているのですが、
これって不正アクセスされているのでしょうか?

このQ&Aに関連する最新のQ&A

A 回答 (3件)

rhlです。



やっぱりそうでしたか。あれはnimdaが感染を広げるためにHTTPリクエスト
に不正なコードを含めてアクセスしてきてコマンドを実行しようとしてる
形跡です。
windowsのcmd.exeをフルパスで指定してきてるので当然LINUXには存在しない
ディレクトリなので基本的には問題ないです。

気になるのは
>外部のIPアドレスでsquidは利用出来ない設定にしているのですが
というところですね。
ローカル以外は一切遮断しているということですよね?
それはサーバ側でですか?それともルータのフィルタリングも併用されて
いるのですか?
ルータのNATなどで外部からアクセスできるようにしてあるならば起こり
得ると思いますけどね。
IPアドレスが毎回違うのはいろんな感染サーバからアクセスしてきてるから
です。
WEBサーバをたてると分かるかと思いますがnimda、coderedなどのアクセス
が非常に多いのが分かると思います。
    • good
    • 0
この回答へのお礼

ありがとうございます。
プロキシでしか利用していなかったので、
squidでの設定でローカルアドレス以外を遮断としか
しておらず、パケットフィルタリング(iptables)の
inputは全開にしていました。
怖くなりさっそく閉めました。

お礼日時:2002/04/12 14:22

>これがsquidのaccess.logに外部IPアドレスで残ると


>いう事はどういう事なのでしょうか?

nimdaは、相手のサーバーのOSを特定して攻撃するのではなく、Linuxサーバーに攻撃を仕掛けてnimdaは、
「あーだ、こーだ」やってみたが、結局何も出来ませんでした・・・・と帰っていくはずです。
だから、気にしなくてもいいでしょう。
しかし、そのIPアドレスはnimdaに汚染されている可能性が
高いです。
そこで、相手の管理者に教えてあげるくらいはしたら、いいかもしれませんね。

>ウイルス対策はサーバー&クライアントともまめに
>やっています。

素晴らしい!
これからも継続してください。
    • good
    • 0
この回答へのお礼

ありがとうございます。
安心しました。
自分のサーバーが踏み台になり、第3者を攻撃して
いるのかと不安になりました。

お礼日時:2002/04/12 09:47

>GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE



これってあの悪名だかきnimdaが残すログじゃないでしょうか?
確かこんな感じだったような・・・。
この後にも
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 273
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /scripts/<中略>/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
こんな感じのが続いてませんか?

違ったらすいません。

違ったらごめんなさい。
    • good
    • 0
この回答へのお礼

ありがとうございます。
まさにそのメッセージです。
これがsquidのaccess.logに外部IPアドレスで残ると
いう事はどういう事なのでしょうか?
ウイルス対策はサーバー&クライアントともまめに
やっています。

お礼日時:2002/04/11 20:04

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


人気Q&Aランキング