こんにちは!

常時接続でLinux のsquidを使用しているのですが、
squidのaccess.logにローカルアドレスでないIP
アドレス(自分が使用していない)が残ります。
IPアドレスは毎回異なっていて、
"GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE"
みたいな感じでログが残ります。
外部のIPアドレスでsquidは利用出来ない設定にしているのですが、
これって不正アクセスされているのでしょうか?

このQ&Aに関連する最新のQ&A

A 回答 (3件)

rhlです。



やっぱりそうでしたか。あれはnimdaが感染を広げるためにHTTPリクエスト
に不正なコードを含めてアクセスしてきてコマンドを実行しようとしてる
形跡です。
windowsのcmd.exeをフルパスで指定してきてるので当然LINUXには存在しない
ディレクトリなので基本的には問題ないです。

気になるのは
>外部のIPアドレスでsquidは利用出来ない設定にしているのですが
というところですね。
ローカル以外は一切遮断しているということですよね?
それはサーバ側でですか?それともルータのフィルタリングも併用されて
いるのですか?
ルータのNATなどで外部からアクセスできるようにしてあるならば起こり
得ると思いますけどね。
IPアドレスが毎回違うのはいろんな感染サーバからアクセスしてきてるから
です。
WEBサーバをたてると分かるかと思いますがnimda、coderedなどのアクセス
が非常に多いのが分かると思います。
    • good
    • 0
この回答へのお礼

ありがとうございます。
プロキシでしか利用していなかったので、
squidでの設定でローカルアドレス以外を遮断としか
しておらず、パケットフィルタリング(iptables)の
inputは全開にしていました。
怖くなりさっそく閉めました。

お礼日時:2002/04/12 14:22

>これがsquidのaccess.logに外部IPアドレスで残ると


>いう事はどういう事なのでしょうか?

nimdaは、相手のサーバーのOSを特定して攻撃するのではなく、Linuxサーバーに攻撃を仕掛けてnimdaは、
「あーだ、こーだ」やってみたが、結局何も出来ませんでした・・・・と帰っていくはずです。
だから、気にしなくてもいいでしょう。
しかし、そのIPアドレスはnimdaに汚染されている可能性が
高いです。
そこで、相手の管理者に教えてあげるくらいはしたら、いいかもしれませんね。

>ウイルス対策はサーバー&クライアントともまめに
>やっています。

素晴らしい!
これからも継続してください。
    • good
    • 0
この回答へのお礼

ありがとうございます。
安心しました。
自分のサーバーが踏み台になり、第3者を攻撃して
いるのかと不安になりました。

お礼日時:2002/04/12 09:47

>GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE



これってあの悪名だかきnimdaが残すログじゃないでしょうか?
確かこんな感じだったような・・・。
この後にも
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 273
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /scripts/<中略>/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
こんな感じのが続いてませんか?

違ったらすいません。

違ったらごめんなさい。
    • good
    • 0
この回答へのお礼

ありがとうございます。
まさにそのメッセージです。
これがsquidのaccess.logに外部IPアドレスで残ると
いう事はどういう事なのでしょうか?
ウイルス対策はサーバー&クライアントともまめに
やっています。

お礼日時:2002/04/11 20:04

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QGUI管理ツールでipアドレスとホスト名、DNSサーバーのipを変更すると/etc以下のどのファイルが書き換えられるのでしょうか。

大学内のLANでRHL9.0を使用しています。タイトルの通りなのですが、例えばlinuxconfなどのGUIツールを使ってマシンのipアドレス(固定ip)とホスト名、DNS(bind)サーバーのipアドレスを変更した場合、以下に示すファイル以外に(/etc以外でも)どのようなファイルが書き換えられるのでしょうか。インストールはごく一般的なやり方でやってますので固有のファイルと言うものはありません。

/etc/hosts , /etc/sysconfig/networks ,
/etc/sysconfig/network-scripts/ifcfg-eth0 ,
/etc/host.conf , /etc/resolve.conf

理由:現在メールサーバーとDNSサーバーをfirst.aaa.bbb.jpという1台のマシンで運用していますが、新しくsecond.aaa.bbb.jpという予備サーバーを構築しました。「first」が故障した場合、「second」を「first」というホスト名に変更しipも変更することによって対処したいと考えています。現在その試験中なのですが、「second」をすばやく「first」にし、試験が終わったらまたすばやく「second」に戻す必要があります。perlでスクリプトを作ることによってこれを実現しようと思うのでどのファイルが変更されるのかを知りたい次第です。

大学内のLANでRHL9.0を使用しています。タイトルの通りなのですが、例えばlinuxconfなどのGUIツールを使ってマシンのipアドレス(固定ip)とホスト名、DNS(bind)サーバーのipアドレスを変更した場合、以下に示すファイル以外に(/etc以外でも)どのようなファイルが書き換えられるのでしょうか。インストールはごく一般的なやり方でやってますので固有のファイルと言うものはありません。

/etc/hosts , /etc/sysconfig/networks ,
/etc/sysconfig/network-scripts/ifcfg-eth0 ,
/etc/host.conf , /etc/resolve...続きを読む

Aベストアンサー

DNSに関するアドバイスは既に出ていますので、
ツールで変更されたファイルを調べる方法ですが、

# find /etc -type f -cmin 1 <ENTER>

などとすると、/etc以下の、一分以内に変更されたファイルが検索できます。

Qsquid is already running process ID****と出てsquid start,stop restartができない

squid is already running process ID****と出てsquid start,stop restartができないです。

configは
acl lan src 192.168.1.0/255.255.255.0 ←NW編集
http_access allow lan ←追加
しかいじっていないです。

自動設定ON(chkconfig squid on)してshutdownして
今日立ち上げたら上記エラーが出てしまいます。

どうすればsquid stop できるのでしょうか。
ご教授願います。

Aベストアンサー

その前に、squidプロセスが本当に動いているかどうかの
確認はしたのですか?
それとも、確認する知恵もないですか?

Qsquid の設定で IP を隠したい

現在、TurboLinux6.0でsquidを使ってプロキシサーバーを動かしています。

http://www.taruo.net/e/?TARGET= のようなサイトで調べてみると下記のように情報
が出てしまいます。

REMOTE_HOST 202.****.***.210 
REMOTE_ADDR 202.***.***.210 
HTTP_REFERER (none) 
HTTP_USER_AGENT . Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x
4.90)
HTTP_ACCEPT . application/vnd.ms-excel, application/msword, image/gif,
image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, */*
HTTP_ACCEPT_LANGUAGE . ja
HTTP_HOST . www.taruo.net
その他の情報
HTTP_X_FORWARDED_FOR . unknown
HTTP_VIA . 1.0 proxy.yuntaku.com:730 (Squid/2.4.STABLE1)
HTTP_CONNECTION . keep-alive 
HTTP_CACHE_CONTROL . max-age=259200

掲示板などに接続もとがでるものがありますよね。それに書き込むとIPが書かれてし
まいます。

これを何とか隠したい(又は別の名前にしたい)のですが、何か方法は無いのでしょ
うか?

現在、TurboLinux6.0でsquidを使ってプロキシサーバーを動かしています。

http://www.taruo.net/e/?TARGET= のようなサイトで調べてみると下記のように情報
が出てしまいます。

REMOTE_HOST 202.****.***.210 
REMOTE_ADDR 202.***.***.210 
HTTP_REFERER (none) 
HTTP_USER_AGENT . Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x
4.90)
HTTP_ACCEPT . application/vnd.ms-excel, application/msword, image/gif,
image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerp...続きを読む

Aベストアンサー

>それが、IPではなくサーバー名などになっているものがありますよね。
>
掲示板(CGI等)側で以下の環境変数を使って取得していると思います。
・REMOTE_HOST ホスト名
・REMOTE_ADDR IPアドレス

IPアドレスではなくサーバ名(接続もとのFQDN)になっているというのは、
「REMOTE_HOST」を使っているからでしょう。
(ただ、DNS逆引きができないとIPアドレスになっちゃうのかな?)


>そういう表示になるようにしたいんですが、どこを触ればいいのかさっぱり分かりません。。。。
>
ということで、
squidを動かしているサーバがDNS逆引きできる状態であれば、
あとは相手の掲示板の作り次第なので、こちら側の設定ではない ということだと思います。

Q/dev/dsk,/dev/rdsk と /dev/osa/dev/dsk について

Solaris2.6を利用しています。

CPU利用率のwioの値が高い為、DiskI/Oに問題があるのかと思い、
sar -d コマンドで調べたところ、"sd339,f" に問題があるらしい事が
わかりました。

それで、/etc/path_to_inst で対応するデバイスを調べたのですが、
/dev/dsk,/dev/rdsk のいずれにもそのデバイスに対応する
デバイスファイルはなく、/dev/osa/dev/dsk にありました。

ハードディスクのデバイスファイルは/dev/dsk,/dev/rdsk にある事までは
参考書などで調べる事ができたのですが、/dev/osa/dev/dsk について記述のある
参考書やWEBページを見つける事ができませんでした。

/dev/dsk,/dev/rdsk にはなく、/dev/osa/dev/dsk にある、ということは
どういうことなんでしょうか?
(ハードディスクじゃないんですか?)
/dev/osa/dev/dsk はどんなデバイスファイルが
入っているところなんでしょうか?

また、この辺を知るにはどこを調べればよろしいでしょうか?

どなたか詳しい方、ご教授ください。よろしくお願いします。

Solaris2.6を利用しています。

CPU利用率のwioの値が高い為、DiskI/Oに問題があるのかと思い、
sar -d コマンドで調べたところ、"sd339,f" に問題があるらしい事が
わかりました。

それで、/etc/path_to_inst で対応するデバイスを調べたのですが、
/dev/dsk,/dev/rdsk のいずれにもそのデバイスに対応する
デバイスファイルはなく、/dev/osa/dev/dsk にありました。

ハードディスクのデバイスファイルは/dev/dsk,/dev/rdsk にある事までは
参考書などで調べる事ができたのですが、/dev/osa/dev/ds...続きを読む

Aベストアンサー

/dev/osa/dev/以下はOpen Storage Array(OSA)というRAID Managerのデバイスです。
今回、RAID Managerをご利用のようですので、/dev/osa/dev/dskにあるのではないでしょうか?
通常は、/dev/dskや/dev/rdsk(RAWデバイス)になります。

また、障害の件ですが、申し訳ありませんが当方では分かりかねます。
coreが吐かれている場合は、管理者やサポートに解析して貰って調査するしかないですね。

Q特定の Web サイトにアクセスできない (Squid)

現在、Linux の Squid を通すと、ある特定(今のところ一つだけ)の Web サイトにアクセスできません。
URL を入力してしばらく待つと(1分ほど)、

(110) Connection timed out

というエラーページが表示されます。
エラーページの下の方に

... (Squid/2.4.STABLE6)

と表示されているので、Squid の設定に問題があるのではと考えています。
そのサイトへは、Linux を通さず、ルーターに直接つなぐとアクセスできます。
ログも一応見たのですが、原因が分かりません。
このエラーが出たときに、どういった原因が考えられるのでしょう?

誰か助言をお願いします。

Aベストアンサー

単純に考えると該当のサイトがプロキシ経由のアクセスを拒否している可能性があるということが考えられます。


このカテゴリの人気Q&Aランキング

おすすめ情報