Linux Tips

アクセスログに「NNN……」という不審なデータが記録されたら

編集局
2001/8/9

 2001年7月以降、アクセスログに以下のような不審なデータが大量に記録されているサイトも多いだろう。

***.***.***.*** - - [22/Jul/2001:01:43:12 +0900] "GET /default.ida?N
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u5
3ff%u0078%u0000%u00=a HTTP/1.0" 400 328
***.***.***.***はIPアドレス。また、実際には上記の文字列が1行で記録される

 これは、「Code Red」と呼ばれるワームが攻撃を仕掛けていることを示すものだ。しかし、Code RedはマイクロソフトのIIS(Internet Information Service)を標的としたワームなので、使用しているWebサーバがApacheであれば心配は要らない

 ちなみに、すでにCode Red.v3と呼ばれる変種(詳しくはhttp://www.symantec.com/region/jp/news/year01/010806.htmlなどを参照)が登場している。攻撃を仕掛けてきたのが変種かどうかを見分けるのは簡単だ。変種は、

***.***.***.*** - - [05/Aug/2001:03:12:54 +0900] "GET default.ida?X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 277
***.***.***.***はIPアドレス。また、実際には上記の文字列が1行で記録される

のように、「NNN……」ではなく「XXX……」というデータを残すのだ。

 なお、「Apacheは心配ない」と書いたが、頻繁な攻撃によってルータに負荷がかかり、ハングアップするなどの被害が発生する可能性がないわけではない。Linuxユーザーといえども事態の推移を見守る必要があるだろう。

Linux Tips Index



 Linux Squareフォーラム Linux Tipsカテゴリ別インデックス
インストール/RPM ブート/ブートローダ
ファイル操作 環境設定
ユーザー管理 コンソール/ターミナル
X Window System セキュリティ
トラブルシューティング 他OS関係
ネットワーク ハードウェア
Webサーバ Samba
GNOME KDE
OpenOffice.org エミュレータ
ソフトウェア そのほか/FAQ
全Tips公開順インデックス Linux Tips月間ランキング
Linux Squareフォーラム全記事インデックス

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します


Linux & OSS フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Linux & OSS 記事ランキング

本日 月間