bobuhiro11's diary

apacheに不正アクセス?

14 Oct 2012
[apache] [アクセス] [不正]
今日logwatchからのメールを見てみると,httpdのところが以下のような感じになってました.(一部変更しています)
 --------------------- httpd Begin ------------------------

 A total of 3 sites probed the server
    119.63.AAA.BBB
    119.63.AAA.CCC
    119.63.AAA.DDD

 A total of 2 possible successful probes were detected (the following URLs
 contain strings that match one or more of a listing of strings that
 indicate a possible exploit):

    /?tag=\xe7\xa9\xba\xe3\x81\x8d\xe5\xae\xb9\xe9\x87\x8f HTTP Response 200     
    /?feed=rss2&tag=\xe9\x81\x94\xe6\x88\x90 HTTP Response 200
A total of 3 sites probed the server ... 3つのサイトがこのサーバを調べて, A total of 2 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): ... 2つの成功した調査が発見されました.(次のURLはエクスプロイトを含んでいる.) まぁこんなニュアンスだろうな.詳しくは分かんない. 不正アクセスかなと思って調べてみると,119.63.AAA.BBBは百度みたいです.
\xe7\xa9\xba\xe3\x81\x8d\xe5\xae\xb9\xe9\x87\x8f
の"\x"を"%"に置き換えて
%e7%a9%ba%e3%81%8d%e5%ae%b9%e9%87%8f
URLデコードしてみると,
空き容量
まあ"空き容量"ていうタグは実際にあるので,いいんだけど,エクスプロイトとか言われてわざわざlogwatchに残るのも鬱陶しいんで,百度からのアクセスを拒否してみることにしました. ルート直下にrobots.txtを作って,以下のように,書き込めばいいみたいです. [bash] User-agent: baiduspider Disallow: / User-agent: baiduspider+ Disallow: / User-agent: baiduimagespider Disallow: / User-agent: baidumobaider Disallow: / [/bash] あとはちょっと様子を見てみようかな. 参考: http://www.cman.jp/network/support/ip.html http://www.tagindex.com/tool/url.html http://www.myhome-server.com/centos/baiduspider.html

comments powered by Disqus < 改行コードで苦戦しました. ナイーブベイズでネガポジ判定をする. >