不正アクセス？

こんにちは！

常時接続でLinux のsquidを使用しているのですが、
squidのaccess.logにローカルアドレスでないIP
アドレス（自分が使用していない）が残ります。
IPアドレスは毎回異なっていて、
"GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE"
みたいな感じでログが残ります。
外部のIPアドレスでsquidは利用出来ない設定にしているのですが、
これって不正アクセスされているのでしょうか？

No.3 ベストアンサー 回答者： rhl 回答日時： 2002/04/12 09:53

rhlです。

やっぱりそうでしたか。あれはnimdaが感染を広げるためにHTTPリクエスト
に不正なコードを含めてアクセスしてきてコマンドを実行しようとしてる
形跡です。
windowsのcmd.exeをフルパスで指定してきてるので当然LINUXには存在しない
ディレクトリなので基本的には問題ないです。

気になるのは
＞外部のIPアドレスでsquidは利用出来ない設定にしているのですが
というところですね。
ローカル以外は一切遮断しているということですよね？
それはサーバ側でですか？それともルータのフィルタリングも併用されて
いるのですか？
ルータのNATなどで外部からアクセスできるようにしてあるならば起こり
得ると思いますけどね。
IPアドレスが毎回違うのはいろんな感染サーバからアクセスしてきてるから
です。
WEBサーバをたてると分かるかと思いますがnimda、coderedなどのアクセス
が非常に多いのが分かると思います。

この回答へのお礼

ありがとうございます。
プロキシでしか利用していなかったので、
squidでの設定でローカルアドレス以外を遮断としか
しておらず、パケットフィルタリング（iptables)の
inputは全開にしていました。
怖くなりさっそく閉めました。

お礼日時：2002/04/12 14:22

No.2 回答者： kusukusu 回答日時： 2002/04/11 22:21

>これがsquidのaccess.logに外部IPアドレスで残ると

>いう事はどういう事なのでしょうか？

nimdaは、相手のサーバーのOSを特定して攻撃するのではなく、Linuxサーバーに攻撃を仕掛けてnimdaは、
「あーだ、こーだ」やってみたが、結局何も出来ませんでした・・・・と帰っていくはずです。
だから、気にしなくてもいいでしょう。
しかし、そのIPアドレスはnimdaに汚染されている可能性が
高いです。
そこで、相手の管理者に教えてあげるくらいはしたら、いいかもしれませんね。

>ウイルス対策はサーバー＆クライアントともまめに
>やっています。

素晴らしい！
これからも継続してください。

この回答へのお礼

ありがとうございます。
安心しました。
自分のサーバーが踏み台になり、第３者を攻撃して
いるのかと不安になりました。

お礼日時：2002/04/12 09:47

No.1 回答者： rhl 回答日時： 2002/04/11 19:36

＞GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE

これってあの悪名だかきnimdaが残すログじゃないでしょうか？
確かこんな感じだったような・・・。
この後にも
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 273
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 283
"GET /scripts/＜中略＞/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
こんな感じのが続いてませんか？

違ったらすいません。

違ったらごめんなさい。

この回答へのお礼

ありがとうございます。
まさにそのメッセージです。
これがsquidのaccess.logに外部IPアドレスで残ると
いう事はどういう事なのでしょうか？
ウイルス対策はサーバー＆クライアントともまめに
やっています。

お礼日時：2002/04/11 20:04