---

Code Red Tips

2001年の8月に入ってからWebサーバのログに"default.ida"が大量に記録されるようになりました。 これはMicrosoftのIISのバグをつついたアタックの痕跡です。 penguin-box.jpはWebサーバをLinux+Apacheで運用しているので特に被害はないとはいえアタックを受けるのは感じのいいものではないです。 以下に、ログファイルからアクセス元を割り出すのに便利なTipsを紹介します。

Tips

httpd.conf

HostnameLookupsにONを指定するとアクセス元のIPアドレスの逆引きを行い可能ならFQDNで記録します。 また、Doubleを指定するとまず逆引きを行い、その結果をもとに正引きを実行します。 ONではDNS詐称を見破れないのでDNSのトラフィックは増えますがDoubleのほうが良いと思います。

参考:HostnameLookups Directive

default.idaのアクセス元ををログから切り出してnslookupするスクリプト

  #!/bin/sh
  LOG="/var/log/httpd/access_log"
  awk '/default.ida/{print $1}' $LOG|sort|uniq|xargs -n 1 nslookup|grep Name

default.idaのアクセス元一覧作成

  #!/bin/sh
  LOG="/var/log/httpd/access_log"
  awk '/default.ida/{print $1 "\t" $2}' $LOG |sort|awk '{print $2"]" "\t" $1}'

注意

ここではログの書式を1カラム目がホスト名、2カラム目が時刻と仮定しています。$1や$2は適宜読みかえてください。

ウィルス、セキュリティ関連リンク

• IPA セキュリティセンター
• ZDnet ウィルス＆セキュリティ
• セキュリティホールmemo



---