ここから本文です

apacheのアクセスログについて 先日、リクエストヘッダが他サイトへのリクエスト...

it_777_777さん

2009/10/1608:40:53

apacheのアクセスログについて
先日、リクエストヘッダが他サイトへのリクエストがあったのですが、HTTPステータスコード 200 OK で返されていました。
これはどういったことでしょうか?

【アクセスログ抜粋】
xxx.xxx.xxx.xxx - - [12/Oct/2009:08:31:51 +0900] "GET http://wap.01234.com.cn/ HTTP/1.1" 200 14389 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"

補足回答有難う御座います。

【dolphin960413さん】
伏せているIPアドレスは、125.107.128.124 からのアクセスでした。
ファイアウォールで拒否する事は可能ですが、12日以降アクセスがない状態なので迷っています。

【takecyan_mx2002さん】
PROXYを設定して試行した所、自サイトの「/」画面が表示されました。
送信したサイズも同等でした。

上記から「踏み台を探す攻撃を受けたが、この攻撃は防げている。」との判断で宜しいでしょうか?

閲覧数:
3,752
回答数:
2
お礼:
25枚

違反報告

ベストアンサーに選ばれた回答

編集あり2009/10/1620:35:04

実験してみました。

■実験方法
ブラウザのPROXY設定を自サイトApacheにする
その状態でhttp://www.yahoo.co.jp/にアクセスする

■結果
ブラウザに表示されたのは自サイトApacheの / ページ

その時のApacheのログ↓
127.0.0.1 - - [16/Oct/2009:12:47:01 +0900] "GET http://www.yahoo.co.jp/ HTTP/1.1" 200 486

200になるのは正常動作のようですね。
上記の実験をして、自サイトApacheの / ページが表示されるなら恐らく騒ぐ必要はないと思います。また、クライアントに返されてるファイルサイズが、自サイトの/と一致することも確認してください。

もしこれをやって本当にYahooが表示されてしまうと非常にまずいですね。
そうなる場合としては、mod_proxyモジュールが有効、かつ設定でもmod_proxyを制限なしで有効にしている場合に起こります。恐らくこういった設定の甘いサーバーを探した無差別なものでしょう。


追記

>上記から「踏み台を探す攻撃を受けたが、この攻撃は防げている。」との判断で宜しいでしょうか?
いいと思います。

有名どころのポートを外向きに出してたらこの手の接続なんてよくある事です。
相手は特定の相手をターゲットにしたいわけじゃなくて、手当たり次第自分の都合のいいホストを探してるだけです。1回きりの失敗した不正アクセスくらいでファイヤーウォールなんて設定してたらいくらメモリーがあっても足りません。

質問した人からのコメント

2009/10/17 10:01:01

降参 お二人様とも回答有難う御座いました。おかげで運用ログについて知識が深まりました。

ベストアンサーを選ぶのは難しかったのですが、確認手順及び実験結果を記載して下さったのでtakecyan_mx2002様を選ばして頂きました。

又、判らないことがあれば宜しくお願い申し上げます。

ベストアンサー以外の回答

1〜1件/1件中

編集あり2009/10/1618:54:00

先ず質問への直接の回答ではないことをお断りしておきます.

この質問はとても気になる質問です.
同じ様な例があるのかと,私の運用して WEB server のログを見てみましたが,他サイトへのリクエストは見つかりませんでした.
http://wap.01234.com.cn という URL も如何にも怪しそうな URL ですね.
Google で検索したところ MUSTANインターネットレポートというサイトで攻撃対象サイトとして検出されています.
(最初の検出日:2009/09/29)
http://mustan.ipa.go.jp/mustan_web/list_of_new_transactions_Web

質問者のサーバーが踏み台にされている可能性がありそうです.
【アクセスログ抜粋】の xxx.xxx.xxx.xxx も伏せずに公開してください.

私にはこれ位しか分かりませんでした.

この質問を見ているであろう fukufuku_zz さんの見解をお伺いしたいです.

[追記]
このリクエストの発信IPアドレス(xxx.xxx.xxx.xxx)が固定であれば,iptables によるファイアウォールを設置して,その発信IPアドレスからのアクセスを拒否することはできますね.(かなり面倒かも知れない)
http://cyberam.dip.jp/linux_security/iptables/iptables_main.html

参考図書
「Linuxサーバ セキュリティのポイントと対策」
阿部ひろき著 SoftBank Creative 発行
ISBN4-7973-3703-6 \2,600
対策17 iptables による ACL 設定

[追記]
$ whois 125.107.128.124
すると発信元は
中国 CHINANET-ZJ-SX
だと分かります.
中国からの踏み台の試みって多い様ですね.

>上記から「踏み台を探す攻撃を受けたが、この攻撃は防げている。」との判断で宜しいでしょうか?
その判断で良いと思います.

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。