8月中旬以降のWebサーバ・ログの数字が跳ね上がっていて、Unique IPもPVもそれまでの数倍になっています。DOS攻撃や検索クローリングのせいか?とも思いましたが、そんなに急激に変わるものではないですよね?ちなみに、JavaScriptのタグを仕込んだASPサービスも併用しているのですが、そちらの数字はそれほど変わっていません。なぜ、急激にログの数字が跳ね上がったのでしょう?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2003/11/25 23:42:59
  • 終了:--

回答(5件)

id:masaomix No.1

masaomix回答回数1023ベストアンサー獲得回数12003/11/26 05:33:45

ポイント10pt

問題はUnique IPの「中身」です。

いくつかサンプルを採ってDNSで引いてみてください。

正規のISPのものでなかったり、DNSでドメインが引けないものばかり、

なんていうことでしたら、何らかの不正な目的でのアクセスを受けていた、

と理解するのが自然です。

IPは簡単に偽装できます。そしてこうした不正目的のアクセスでは、

しばしば偽装されたIPが使われます。

どうも様子から見て、パスワードなどの解析を試みられていた臭いがします。

こういう場合は文字列総当たりでアクセスしてきますから、

サーバの記録するログは当然急増します。

こうしたクラックの半分はデータベースなどへの侵入目的ですが、

もう半分は情報資源ではなくサーバ資源の乗っ取り目的です。

つまり他サーバ攻撃用の踏み台に使うための侵入口探しですね。

緊急にサーバの脆弱性をチェックしてください。

「WebログのトラフィックIPアドレス数は急増したままなんでしょうか?」

とのことですから、この状況は最悪の場合、

今現在も何らかの不正目的でのアクセスが続いている可能性を示唆しています。

ファイアウォールは装備しているようですが、

素人の面白半分クラックならいざしらず、

手慣れた侵入者にとってはただの網戸のようなものですから、

過信は禁物です。

サーバその物のセキュリティが問われます。

サーバ管理者に早急に連絡を取って、

以上の可能性を検討してみてもらってください。

ページごとのアクセス記録も取得して検討してみる必要があります。

全てのUnique IPが安心できるものであり、

ページごとのビューも自然な増加で特定のページだけが突出したものではない、

ということであれば単に人気が出ただけでしょうが、

その逆ならこれは大変危険です。十分お気をつけください。

id:masaomix No.2

masaomix回答回数1023ベストアンサー獲得回数12003/11/26 05:58:51

ポイント10pt

追記です。1の回答のようなウイルスに感染したマシンからの攻撃かどうかは、

IPと共にUSER_AGENTの解析などによって確かめてみてください。

またウイルスによる攻撃の数にはゆるやかな波があり、

世界中のマシンの感染数、対策数に従って増加したり減少したりします。

そうした推移に合致していればMS.Blaster/Nachiなどの影響の

「煽りを受けた」と考えてもいいでしょうが、

こうしたウイルスを撒く目的その物が、不正アクセスを増加させて、

落ち葉の中に紛れ込んだ落ち葉のように本物のクラックを入れて来るという

不正行為隠しなわけですから、

ウイルスによるサーバ攻撃が始まったというニュースが流れたら、

さあその中に人間の不正アクセスも混じってくるぞと

危機感を高めなければなりません。

また、データの流れもモニタできたらしてみる必要がありますね。

サーバからの応答を待たずに垂れ流しのようにGETメソッドを発行してくる、

無意味なリロードを繰り返すなどの特徴が見られれば

無人のDoS攻撃と理解してもよさそうですが、

その中に人為的なゆらぎのあるアクセスが入っているかもしれません。

id:urushi No.3

urushi回答回数75ベストアンサー獲得回数02003/11/26 16:24:35

ポイント10pt

サイトアドレスを教えてください。

id:aki73ix No.4

aki73ix回答回数5224ベストアンサー獲得回数272003/11/25 23:55:51

ポイント30pt

’新種の%20Win32/Blaster.worm%20拡散警告’

いえ、ウィルスです

MS.Blaster/Nachi の発生から急激にログが増えたのは何処も同じようですよ

id:roomrag

直接サーバ管理をしている者が他にいて、私は詳しくないんですが、パッチを当てたりFireWallがあっても、WebログのトラフィックIPアドレス数は急増したままなんでしょうか?

2003/11/26 00:04:49
id:arcana No.5

arcana回答回数120ベストアンサー獲得回数102003/11/26 02:10:29

ポイント30pt

上記の情報だけでは断言出来ない部分があります。

まず、httpdのログ解析などを用いて、どのページの参照が多いかを確認した方がよろしいかと。

トップページのみの場合や存在しないファイル群の場合、80番ポートを狙ったワームなどが寄ってきている可能性があります。

偏りが無かった場合、単に人気が出たとか、もしくは某検索サイトのrobot巡回による疑似DOS攻撃の可能性もあります。

※参考URLをご覧下さい。

id:roomrag

ありがとうございます。USドメインでトップページのみへのアクセスが多いようです。80番ポート狙いのワームが怪しいですか・・・参考になりました。

2003/11/26 20:48:33
  • id:roomrag
    ポイント配分について

    すいません。はじめての質問だったため、ポイント配分がよくわからず回答全てに目を通す前に終了してしまいました。
    http://www.hatena.ne.jp/1069771379
  • id:aki73ix
    続き

    うちは、7月中旬から、MSBlasterと同じセキュアをついたハッカーの被害にあっています、ASPサーバーということは、Windowsですから、既に、パッチを当てていても、バックドアを仕込まれている可能性もあります
    FireWallで止まるのは特定のポートですから、ハッキングの試みの場合、防げないでトラフィックの増大につながるものもあります。詳しくは、もう少し情報がないとなんともいえません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません