[PHP-users 17416]Re: COOKIEを利用したカウンタ（元名：初めまして）

[Masashi Ohba]

大場です。

In message "[PHP-users 17409] Re: COOKIEを利用したカウンタ（元名：初めまして）",
ｎａｂｅ ｅｍｉ <watanabe010818 ＠ hotmail.com> wrote...>こんにちは、nabe emiです。皆さまアドバイスあり
がとうございました。

>次にアクセスログを確認した所、2.3分おきにアクセスが行われていました。
>中身を調べた所、span時間が0：00でRequestの中身も空っぽ（GET/のみ）のアクセス
>が行われていました。
>原因はそれみたいです。
>これから対処方法を調べて行いたいと思います。

それって、MSなOSで動くIISの穴(MS03-007)をつつきたがってる
ウィルスの仕業でしょ？

感染してつついてる側はつつかれてる先のマシンのOSが何で、
そこで動いてるWebサーバプログラムが何かなんて
お構いなしにつつくわけで、普通はport80を使ってて
そこを塞ぐわけにはいかないWebサーバ側からみたら
それの対処はやりにくそうだけど…

この辺に説明が
http://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.html

＃でもねぇ、UNIX系OSでWebサーバ動かしてると、そこに
＃「Microsoft IIS 5.0が稼動しているコンピュータを標的」
＃「Windows XPが稼動しているコンピュータを標的」
＃って記述されてる内容は「？」とか感じるなぁ
＃ウィルスは何か行動する前にMSなOSか否かを判断してから
＃ちょっかい出してるわけでもなく、感染マシンは適当なIPアドレス
＃(任意ではない、規則性はあるらしい)が付いたホストに向けて
＃やみくもなわけで…
＃結果的にその中で、MSのOSかつ脆弱性が残ってるやつだけが
＃感染させられるわけなんだけど。

自宅のマシンを見る限り、最初の質問のメールが流れた数日前くらいから
Apacheのログにこの状態が出てたように記憶してるので

＃最初「なんだこのアクセスは？」とか思ったし…

挙動がおかしい時にログを見るという基本的な作業をしていたら
おそらく「実際にアクセスがあるんだね」とわかったでしょう。
(私は示されたコードはよく読んでませんので、バグの有無はわかりません)
ニムダやコードレッドなんかいまだにつつきに来てますし
他の所への踏み台にしようと悪意を持ってport80をつつく輩も多いです。

MSなOSの動いているサーバの面倒を見てない人も、
MSのOSのバグが原因のセキュリティ情報に敏感になりましょう
あわせて、port80への不正なアクセスへも敏感になりましょう

＃もし、外につながってない開発環境でそれが起きてたら
＃内部に感染したマシンがいるって可能性が高いか…
＃その場合、周辺マシンまで含めて即効で対策をした方が
＃いいでしょうね…

-- 
Name  : Masashi Ohba
E-mail: ooba ＠ sra-tohoku.co.jp