人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

8月中旬以降のWebサーバ・ログの数字が跳ね上がっていて、Unique IPもPVもそれまでの数倍になっています。DOS攻撃や検索クローリングのせいか?とも思いましたが、そんなに急激に変わるものではないですよね?ちなみに、JavaScriptのタグを仕込んだASPサービスも併用しているのですが、そちらの数字はそれほど変わっていません。なぜ、急激にログの数字が跳ね上がったのでしょう?

●質問者: roomrag
●カテゴリ:ウェブ制作
✍キーワード:8月 ASP DoS攻撃 IP JavaScript
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

1 ● masaomix
●10ポイント

問題はUnique IPの「中身」です。

いくつかサンプルを採ってDNSで引いてみてください。

正規のISPのものでなかったり、DNSでドメインが引けないものばかり、

なんていうことでしたら、何らかの不正な目的でのアクセスを受けていた、

と理解するのが自然です。

IPは簡単に偽装できます。そしてこうした不正目的のアクセスでは、

しばしば偽装されたIPが使われます。

どうも様子から見て、パスワードなどの解析を試みられていた臭いがします。

こういう場合は文字列総当たりでアクセスしてきますから、

サーバの記録するログは当然急増します。

こうしたクラックの半分はデータベースなどへの侵入目的ですが、

もう半分は情報資源ではなくサーバ資源の乗っ取り目的です。

つまり他サーバ攻撃用の踏み台に使うための侵入口探しですね。

緊急にサーバの脆弱性をチェックしてください。

「WebログのトラフィックIPアドレス数は急増したままなんでしょうか?」

とのことですから、この状況は最悪の場合、

今現在も何らかの不正目的でのアクセスが続いている可能性を示唆しています。

ファイアウォールは装備しているようですが、

素人の面白半分クラックならいざしらず、

手慣れた侵入者にとってはただの網戸のようなものですから、

過信は禁物です。

サーバその物のセキュリティが問われます。

サーバ管理者に早急に連絡を取って、

以上の可能性を検討してみてもらってください。

ページごとのアクセス記録も取得して検討してみる必要があります。

全てのUnique IPが安心できるものであり、

ページごとのビューも自然な増加で特定のページだけが突出したものではない、

ということであれば単に人気が出ただけでしょうが、

その逆ならこれは大変危険です。十分お気をつけください。


2 ● masaomix
●10ポイント

追記です。1の回答のようなウイルスに感染したマシンからの攻撃かどうかは、

IPと共にUSER_AGENTの解析などによって確かめてみてください。

またウイルスによる攻撃の数にはゆるやかな波があり、

世界中のマシンの感染数、対策数に従って増加したり減少したりします。

そうした推移に合致していればMS.Blaster/Nachiなどの影響の

「煽りを受けた」と考えてもいいでしょうが、

こうしたウイルスを撒く目的その物が、不正アクセスを増加させて、

落ち葉の中に紛れ込んだ落ち葉のように本物のクラックを入れて来るという

不正行為隠しなわけですから、

ウイルスによるサーバ攻撃が始まったというニュースが流れたら、

さあその中に人間の不正アクセスも混じってくるぞと

危機感を高めなければなりません。

また、データの流れもモニタできたらしてみる必要がありますね。

サーバからの応答を待たずに垂れ流しのようにGETメソッドを発行してくる、

無意味なリロードを繰り返すなどの特徴が見られれば

無人のDoS攻撃と理解してもよさそうですが、

その中に人為的なゆらぎのあるアクセスが入っているかもしれません。


3 ● urushi
●10ポイント

http://www.tokeru.tn.st

サイトアドレスを教えてください。


4 ● aki73ix
●30ポイント

http://www.ahnlab.co.jp/news/view.asp?seq=322&pageNo=1&news_gu=0...

Ahnlabエラーが発生

’新種の%20Win32/Blaster.worm%20拡散警告’

いえ、ウィルスです

MS.Blaster/Nachi の発生から急激にログが増えたのは何処も同じようですよ

◎質問者からの返答

直接サーバ管理をしている者が他にいて、私は詳しくないんですが、パッチを当てたりFireWallがあっても、WebログのトラフィックIPアドレス数は急増したままなんでしょうか?


5 ● arcana
●30ポイント

http://c-moon.jp/robots.shtml

上記の情報だけでは断言出来ない部分があります。

まず、httpdのログ解析などを用いて、どのページの参照が多いかを確認した方がよろしいかと。

トップページのみの場合や存在しないファイル群の場合、80番ポートを狙ったワームなどが寄ってきている可能性があります。

偏りが無かった場合、単に人気が出たとか、もしくは某検索サイトのrobot巡回による疑似DOS攻撃の可能性もあります。

※参考URLをご覧下さい。

◎質問者からの返答

ありがとうございます。USドメインでトップページのみへのアクセスが多いようです。80番ポート狙いのワームが怪しいですか・・・参考になりました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ