| Waffle Computer BBS(Japanese) http://www.wafflecomputer.com/bbs/ja/ |
|
| サーバーのダウン?サイバー攻撃? http://www.wafflecomputer.com/bbs/ja/viewtopic.php?f=9&t=221 |
ページ 1 / 1 |
| 作成者: | koun [ 2014年11月04日(火) 22:04 ] |
| 記事の件名: | サーバーのダウン?サイバー攻撃? |
いつも、お世話になっています。kounです。 今朝、wafflecellにアクセスしようとしたところ、アクセスできなくなっていました。 エラーという表示がされて(詳しくは記録してないので不明です。)、トップページにもアクセスできなくなりました。 VNCで、仮想デスクトップにもアクセスできないし、owncloudにもアクセスできなくなりました。 サーバを見ると、ハードディスクのアクセスランプは時折点滅するので、動いているようなのですが、wafflecellに アクセスできません。 無線LANの問題かと思い、有線でつながっているPCでアクセスしてみましたが同じでした。 ハングアップしてしまっているのかなと思い、電源ボタンを切って終了しました。 仕事から帰ってきて、電源を起動すると正常に動きました。access_pub.logをチェックしてみると、 電源を切った時間前後に、私がアクセスしたログは残っていました。 不審に思いさかのぼって見ると、ソーシャルブックマークに大量のアクセスがありました。たぶんbot。 そして、あまり見たこともないLOGがありました。 [04/Nov/2014:04:56:27 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:29 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:30 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:30 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:31 +0900] "GET /scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:31 +0900] "GET HTTP/1.1" 400 349 "-" "-" これって、サーバに対する攻撃を受けたのではないかと思うのですがいかがでしょうか。 侵入されているのであれば、心配です。何らかの対応は必要でしょうか? |
|
| 作成者: | mozart [ 2014年11月04日(火) 23:57 ] |
| 記事の件名: | Re: サーバーのダウン?サイバー攻撃? |
koun さんが書きました: [04/Nov/2014:04:56:27 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:28 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:29 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:30 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:30 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:31 +0900] "GET /scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu" [04/Nov/2014:04:56:31 +0900] "GET HTTP/1.1" 400 349 "-" "-" このログはランダムにアクセスを試みているアタックの形跡です。ログには残っていますが、実害はありません。 普段使っているPCにも同じようなアクセスは常にありますが、問題はありません。例えば /phpmyadmin/scripts/setup.php というのは、データベース管理ソフトをインストールしたままパスワードなどを設定していないときに問題となるアクセスです。 Waffle Cellや普段お使いのPCにこのようなソフトを危険なままインストールすることはなく、影響はありません。 なお、今朝短い時間ですがDNSサーバー関連のデータベースが止まっていた可能性があり、アクセスしにくくなった可能性が あります。本件は現在調査中で、詳細が分かりましたらご報告する予定です。 |
|
| 作成者: | koun [ 2014年11月12日(水) 18:08 ] |
| 記事の件名: | このLOGは大丈夫でしょうか。 |
いつも、お世話になっています。kounです。 LOGをチェックしていたら、外部からのアクセスで何かをPUTしています。 何かの対処は必要でしょうか。 192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:52 +0900] "GET //index.php HTTP/1.1" 200 10558 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5" 192.232.192.201 - - [09/Nov/2014:00:37:53 +0900] "PUT /nyet.gif HTTP/1.1" 417 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)" 192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:54 +0900] "GET /nyet.gif HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" |
|
| 作成者: | wafflecomdev [ 2014年11月13日(木) 16:11 ] |
| 記事の件名: | Re: このLOGは大丈夫でしょうか。 |
セキュリティホールがあるサーバーを探している、ボットのログ のようです。画像ファイルをプットしてそのデータが書き込めたか、ゲットしているようです。 ただ、該当のサービスは使用していないので、書き込みのステータスが417で失敗。 書き込めたかの確認で404not foundが出ているようです。 プレーンHTMLによってファイルを書き込むようなサービスは実装していなので このログは気にすることは無いと思います。 koun さんが書きました: いつも、お世話になっています。kounです。
LOGをチェックしていたら、外部からのアクセスで何かをPUTしています。 何かの対処は必要でしょうか。 192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:52 +0900] "GET //index.php HTTP/1.1" 200 10558 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5" 192.232.192.201 - - [09/Nov/2014:00:37:53 +0900] "PUT /nyet.gif HTTP/1.1" 417 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)" 192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:54 +0900] "GET /nyet.gif HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" |
|
| 作成者: | koun [ 2014年11月16日(日) 12:24 ] |
| 記事の件名: | Re: サーバーのダウン?サイバー攻撃? |
回答ありがとうございます。kounです。 安心しました。何かを書き込みに来たようなlogを初めて見つけたので 心配していました。 その数字がステータスと走りませんでした。勉強になりました。 もう少し勉強します。 |
|
| 作成者: | Chocowfl [ 2014年11月22日(土) 21:56 ] |
| 記事の件名: | Re: サーバーのダウン?サイバー攻撃? |
Chocowfl です。 こんなもの見つけたのでメモしておきます。 情報処理推進機構(IPA)から ウェブサイトの攻撃兆候検出ツール iLogScanner https://www.ipa.go.jp/security/vuln/iLogScanner/ (どの程度頼りになるか不明ですが...) Vectorから ApacheLogViewer http://www.vector.co.jp/soft/win95/net/se252609.html Apache等のログを見やすく表示できて便利です。(Windows8.1でも動きます) |
|
| 作成者: | koun [ 2014年11月23日(日) 18:18 ] |
| 記事の件名: | Re: サーバーのダウン?サイバー攻撃? |
kounです。 Chocowflさん。ツールの紹介ありがとうございます。 私は、エクセルでログを切り分けるマクロをつくってチェックしていました。 こんなツールがあったんですね。使ってみます。 最近、妙にサーバのアクセスランプが頻繁に点滅するのでログをチェックして います。ソーシャルブックマークへボットによるアクセスが多いようです。 攻撃によりファイルサーバ部分への侵入があると怖いなと思っています。 ここで、助言いただいている感じでは、そう簡単には侵入されないのかなという 感じていますが・・・ 安全性を考えるなら、ウェブサーバとファイルサーバは分けて持つようにしたほうが 良いのかもしれないなと最近思っています。(今のところそこまでの運用は実行しませんが・・・) |
|
| 作成者: | mozart [ 2014年11月25日(火) 10:30 ] |
| 記事の件名: | Re: サーバーのダウン?サイバー攻撃? |
koun さんが書きました: 安全性を考えるなら、ウェブサーバとファイルサーバは分けて持つようにしたほうが 良いのかもしれないなと最近思っています。(今のところそこまでの運用は実行しませんが・・・) Waffle Cellではウェブサーバーとファイルサーバーは内部で分離されています。 システムそのものに「穴」が開いていない限りウェブサーバー経由でファイルサーバー (各ユーザーの管理下にあるデータ領域)へのアクセスはできません。 ownCloudの場合、通常のインストールではウェブとファイルを置く場所が同じ領域になりますが、 (ブラウザでデータにアクセスさせるため)、Waffle Cellのインストーラではこの領域を分けるように しています。 |
|
| ページ 1 / 1 | All times are UTC + 9 hours |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|