Apache2 のログを解析してみたら攻撃の痕跡が

投稿日 2015/01/07 更新 2015/08/23

このサイトは Amazon Web Service (AWS, クラウド) 上に構築しています。

[Home] 当サイトのAWSの記事 AWSって安い?

Apache2 のログ

ウェブサーバ Apache2 のログファイルは、Ubuntu なら /var/log/apache2 の中に入ってます。他のディストリビューションではちょっと違っていますが、だいたいその辺に入っていると思います。

このディレクトリのオーナーは、root なので操作するためには、sudo が必要です。

この仮想マシンでは、cron で1時間ごとに /home/ubuntu/data/apache2 にコピーしています。コピーしているのは、拡張子が .log であるファイルですが、時々、access.log.1 のように今までのログがリネームされて、新しい access.log ファイルが作られます。その場合は、手動で access.log.n をコピーしています。cron の設定ファイル crontab の設定は下のようにしています。

これで、いちいち sudo を付けなくてもいろいろ操作ができるので便利です。さて、ログの量は、いくらアクセスの少ないサイトでもけっこうたくさんあるので、view などで見るのはたいへんです。そこで、訪れた閲覧者の IP アドレスごとにサマリーを取るツールを作りました。

!/usr/bin/perl

die "Error: You must specify Apache2 access.log.\n" if ($#ARGV < 0);
my $filename = $ARGV[0];
my %hash;
my $count = 0;
open(my $fh, $filename) or die "Error: " . $filename." cannot open.\n";
while (>$fh<) {
  my @p = split;
  my $ip = "";
  if ($#p > 0) {
    $ip = $p[0];
  }
  else {
    next;
  }
  if (exists $hash{$ip}) {
    $hash{$ip} += 1;
  }
  else {
    $hash{$ip} = 1;
  }
}
close($fh);
foreach my $key (sort { $hash{$b} <=> $hash{$a} } keys %hash) {
  print $key . "\t" . $hash{$key} . "\n";
}
print "Done.\n";

使い方ですが、"perl apache_log.pl access.log" のようにログファイルを指定すると結果が表示されます。

このツールの出力ですが、下のような感じになります。

一番上の IP は自分のものなので問題ないです。::1 はローカルアドレスです。それ以外は、誰か知らない人が訪問しています。


調査

何を見ているか?

一番アクセス数の多い "222.186.56.179" ですが、ログを grep してみると下のような感じです。明らかに何かを調べている感じです。

222.186.56.179 - - [30/Dec/2014:07:23:44 +0000] "HEAD /login.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:44 +0000] "HEAD /index.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:46 +0000] "HEAD /shop.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:46 +0000] "HEAD /loginNew.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:46 +0000] "HEAD /loginAction.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:46 +0000] "HEAD /loginUDB.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:47 +0000] "HEAD /userInit.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:47 +0000] "HEAD /admin.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:47 +0000] "HEAD /member.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:48 +0000] "HEAD /news.action HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:48 +0000] "HEAD /index.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:48 +0000] "HEAD /login.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:48 +0000] "HEAD /shop.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:49 +0000] "HEAD /loginNew.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:49 +0000] "HEAD /loginAction.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:49 +0000] "HEAD /loginUDB.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:49 +0000] "HEAD /userInit.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:50 +0000] "HEAD /admin.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:50 +0000] "HEAD /member.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
222.186.56.179 - - [30/Dec/2014:07:23:50 +0000] "HEAD /news.do HTTP/1.1" 404 139 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"

2番目に多い "69.58.178.58" は、最初に "robots.txt" をアクセスしに来ていて、実際にあるページを開いています。これは、検索エンジンの「ロボット」ですね。

69.58.178.58 - - [31/Dec/2014:05:30:13 +0000] "GET /robots.txt HTTP/1.1" 404 441 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:14 +0000] "GET / HTTP/1.1" 200 3563 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:15 +0000] "GET /articles/Onamae.com/index.html HTTP/1.1" 200 5881 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:16 +0000] "GET /articles/project/coding_rule.html HTTP/1.1" 200 2265 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:17 +0000] "GET /articles/HTML/jade.html HTTP/1.1" 404 454 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:18 +0000] "GET /articles/HTML/less.html HTTP/1.1" 404 454 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:20 +0000] "GET /articles/AWS/aws_first.html HTTP/1.1" 200 11924 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:21 +0000] "GET /articles/AWS/aws_ec2.html HTTP/1.1" 200 14561 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:22 +0000] "GET /articles/AWS/aws_s3.html HTTP/1.1" 200 5116 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:23 +0000] "GET /articles/AWS/aws_ubuntu.html HTTP/1.1" 200 7153 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:24 +0000] "GET /articles/AWS/aws_marketplace.html HTTP/1.1" 404 464 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:25 +0000] "GET /cgi-bin/showImgFolder.cgi HTTP/1.1" 200 1473 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:26 +0000] "GET /php/index.html HTTP/1.1" 401 667 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:27 +0000] "GET /index.html HTTP/1.1" 200 3563 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:28 +0000] "GET /articles/project/aws_ec2.html HTTP/1.1" 404 460 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:29 +0000] "GET /articles/project/aws_first.html HTTP/1.1" 404 462 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1"
69.58.178.58 - - [31/Dec/2014:05:30:30 +0000] "GET /articles/project/aws_s3.html HTTP/1.1" 404 459 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0; ips-agent) Gecko/20100101 Firefox/14.0.1

これも、存在しないページを開こうとしています。しかも "/manager/html" なので何かの管理ページでしょうか。

202.109.143.35 - - [29/Dec/2014:07:29:17 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [29/Dec/2014:09:46:04 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [29/Dec/2014:20:57:23 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [29/Dec/2014:22:09:42 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [29/Dec/2014:22:36:36 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [30/Dec/2014:07:32:35 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [31/Dec/2014:10:59:24 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"
202.109.143.35 - - [01/Jan/2015:02:06:43 +0000] "GET /manager/html HTTP/1.1" 404 447 "-" "Mozilla/3.0 (compatible; Indy Library)"

こちらは、"/phpMyAdmin/scripts/setup.php" など phpMyAdmin 関連の管理ページを開こうとしています。

168.61.60.56 - - [01/Jan/2015:00:07:51 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 495 "-" "ZmEu"
168.61.60.56 - - [01/Jan/2015:00:07:52 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 482 "-" "ZmEu"
168.61.60.56 - - [01/Jan/2015:00:07:52 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 482 "-" "ZmEu"
168.61.60.56 - - [01/Jan/2015:00:07:52 +0000] "GET /pma/scripts/setup.php HTTP/1.1" 404 475 "-" "ZmEu"
168.61.60.56 - - [01/Jan/2015:00:07:52 +0000] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
168.61.60.56 - - [01/Jan/2015:00:07:53 +0000] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu

これは、まったく別の URL を開こうとしています。意味不明です。

125.64.35.67 - - [31/Dec/2014:13:19:48 +0000] "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 404 490 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0)"
125.64.35.67 - - [02/Jan/2015:03:52:32 +0000] "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 404 490 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0)"
125.64.35.67 - - [03/Jan/2015:19:54:16 +0000] "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 404 490 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0)"

1回だけしか訪れていない IP ですが、これも存在しない CGI を開こうとしています。

72.234.29.125 - - [04/Jan/2015:00:40:13 +0000] "GET /tmUnblock.cgi HTTP/1.1" 400 0 "-" "-"

どこから来ているか?

これらの IPアドレスですが、nslookup コマンドで URL を調べても出てきません。utrace というサイトで調べてみると、以下のような結果でした。ほとんどが中国とアメリカという結果でした。中国はこうやって情報を盗もうとしてるんでしょうね。







最近の攻撃

2015/08/23 追加

こんな攻撃が多発しています。どうも、何かウェブアプリをインストールした後、残ったままになっているセットアップを狙っているようです。不要になったファイルはすぐに消したほうがよさそうです。

/phpMyAdmin-2.11.9.5-english/scripts/setup.php
/php/phpMyAdmin/scripts/setup.php
/pma/PhpMyAdmin/scripts/setup.php
/phpMyAdmin-2/scripts/setup.php
/phpmyadmin/scripts/setup.php
/phpMyAdmin/scripts/setup.php
/scripts/setup.php
/admin/scripts/setup.php
/php/phpmyadmin/scripts/setup.php
/MyAdmin/scripts/setup.php
/phpadmin/scripts/setup.php
/sub/mySql/scripts/setup.php
/pma/scripts/setup.php
/mySql/scripts/setup.php
/mysql/scripts/setup.php
/php-my-admin/scripts/setup.php
/admin/pma/scripts/setup.php
/php/scripts/setup.php
/admin/phpMyAdmin/scripts/setup.php
/myadmin/scripts/setup.php
/php/MyAdmin/scripts/setup.php
/admin/phpmyadmin/scripts/setup.php
/pma/phpmyadmin/scripts/setup.php
//mySql/scripts/setup.php
/articles/Misc//mySql/scripts/setup.php
/articles/Misc//admin/phpMyAdmin/scripts/setup.php
//pma/scripts/setup.php
//scripts/setup.php
//admin/phpMyAdmin/scripts/setup.php
//admin/phpmyadmin/scripts/setup.php
/articles/Misc//admin/phpmyadmin/scripts/setup.php
/articles/Misc//scripts/setup.php
/articles/Misc//phpadmin/scripts/setup.php
//phpmyadmin/scripts/setup.php
/articles/Misc//phpmyadmin/scripts/setup.php
//MyAdmin/scripts/setup.php
/articles/Misc//pma/scripts/setup.php
/articles/Misc//phpMyAdmin-2.11.9.5-english/scripts/setup.php
//myadmin/scripts/setup.php
/articles/Misc//mysql/scripts/setup.php
//phpMyAdmin-2.11.9.5-english/scripts/setup.php
/articles/Misc//phpMyAdmin/scripts/setup.php
/articles/Misc//MyAdmin/scripts/setup.php
/articles/Misc//myadmin/scripts/setup.php
//phpadmin/scripts/setup.php
//mysql/scripts/setup.php
//phpMyAdmin/scripts/setup.php

 

 


 このページの先頭  前の記事 次の記事

 開設 2014年12月   著作権 2014-2015 bonk.red  連絡先: こちらからメッセージを送ってください。

 このページの先頭へ..