p e n g u i n - b o x . j p
powered by linux. since 2001.5.1
Stationary(文具) | Day Planner(手帳) | A4横長ノート術 | Web Comic | Micro Luggage | A-bike city | Penguin Box | Audio | Radiation
トップページ | サイト紹介 | 管理人紹介 | 免責・その他

Code Red Tips

2001年の8月に入ってからWebサーバのログに"default.ida"が大量に記録されるようになりました。 これはMicrosoftのIISのバグをつついたアタックの痕跡です。 penguin-box.jpはWebサーバをLinux+Apacheで運用しているので特に被害はないとはいえアタックを受けるのは感じのいいものではないです。 以下に、ログファイルからアクセス元を割り出すのに便利なTipsを紹介します。

Tips

httpd.conf
HostnameLookupsにONを指定するとアクセス元のIPアドレスの逆引きを行い可能ならFQDNで記録します。 また、Doubleを指定するとまず逆引きを行い、その結果をもとに正引きを実行します。 ONではDNS詐称を見破れないのでDNSのトラフィックは増えますがDoubleのほうが良いと思います。
参考:HostnameLookups Directive
default.idaのアクセス元ををログから切り出してnslookupするスクリプト 
  #!/bin/sh
  LOG="/var/log/httpd/access_log"
  awk '/default.ida/{print $1}' $LOG|sort|uniq|xargs -n 1 nslookup|grep Name
default.idaのアクセス元一覧作成 
  #!/bin/sh
  LOG="/var/log/httpd/access_log"
  awk '/default.ida/{print $1 "\t" $2}' $LOG |sort|awk '{print $2"]" "\t" $1}'
注意
ここではログの書式を1カラム目がホスト名、2カラム目が時刻と仮定しています。$1や$2は適宜読みかえてください。

ウィルス、セキュリティ関連リンク

Stationary(文具) | Day Planner(手帳) | A4横長ノート術 | Web Comic | Micro Luggage | A-bike city | Penguin Box | Audio | Radiation
トップページ | サイト紹介 | 管理人紹介 | 免責・その他
go to www.penguin-box.jp
penguin-box.jp WebSite Ver9.0 / copyright (c) 2001 - 2012 ka's
ka-sNO@SPAMpenguin-box.jp
(Please remove "NO" and "SPAM".)