徒然なるままに プログラミングメモや日々の生活などつれづれとつづっていくblog

2014年3月31日

apacheの不可解なログ

Filed under: apache,ログ,不正アクセス — タグ: , , , — ranpei @ 12:16 AM

サーバーのアクセス解析をふと見てみると
訪問者数の割にページ数が異常に多いことに気がついた
awstats3月の解析結果
※うちのサーバーはアクセス解析にAwstats(日本語版)を利用しています。
このサーバーのメインコンテンツはこのブログだけなので
1訪問者につき500ページ以上も閲覧されることなどあり得ない・・・

不安に思いapacheのログを見てみると以下のような不可解なログが大量に出力されていました。

85.25.226.154 - - [23/Mar/2014:05:26:02 +0900] "GET http://www.mzllock.com/plus/guestbook.php?action=admin&id=20124 HTTP/1.1" 200 6890 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:02 +0900] "POST http://myinfo.any-request-allowed.com/?a=tt4mq2&b=e33bu HTTP/1.1" 200 839 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:26:02 +0900] "GET http://chelseafc360.com/2013/10/07/chelsea-alerted-as-real-are-looking-to-offload-benzema-for-17million/comment-page-1/ HTTP/1.1" 200 22427 "http://chelseafc360.com/2013/10/07/chelsea-alerted-as-real-are-looking-to-offload-benzema-for-17million/comment-page-1/?replytocom=27046" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:26:03 +0900] "GET http://www.europaa.net/zboard/bbs/zboard.php?id=diary&page=39&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=595 HTTP/1.1" 200 55730 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:03 +0900] "GET http://www.labspace911.co.kr/bbs/view.php?id=photo&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=288 HTTP/1.1" 200 13711 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
192.99.2.75 - - [23/Mar/2014:05:26:03 +0900] "POST http://addls.com/wp-comments-post.php HTTP/1.1" 302 5939 "http://addls.com/tt_news%e5%b8%b8%e7%94%a8ts%e9%85%8d%e7%bd%ae.html/comment-page-3?replytocom=2764" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:26:02 +0900] "POST http://mashika-unika.com/about-the-ridgeback/pagina-1.html HTTP/1.1" 200 74 "http://mashika-unika.com/about-the-ridgeback/pagina-1/item/1-about-dafina-wa-afrika/1-about-dafina-wa-afrika.html?start=310" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:03 +0900] "GET http://blog.rgbsocial.com/2012/09/13/3-links-blog-posts-worth-checking-out/comment-page-1/%23comment-form-guest HTTP/1.1" 404 28592 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.mzllock.com/plus HTTP/1.1" 301 184 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:03 +0900] "POST http://www.litcso.com/bbs/savepost.asp?action=sre&method=fastreply&BoardID=2 HTTP/1.1" 200 5641 "http://www.litcso.com/bbs/dispbbs.asp?boardid=2&id=81&page=2&move=pre" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:25:17 +0900] "GET http://japanese.turbinewheel.com/china-gtc12v_turbo_compressor_wheels_for_cars_skoda_audi_turbo_775517_0001-1853697.html HTTP/1.1" 200 14966 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:25:14 +0900] "GET http://grevesmuehlen.umnet.de/de/index.php?sat=10&kate=13&kat2=0&kat3=&d1=20&ppp=1&alle=1&mini=&mini2=&sch=9&page=9&mehr=9&read=&a HTTP/1.1" 503 409 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:25:15 +0900] "GET http://lkccwkfy.uni86.net/group/ViewBBS.asp?ID=20091226940408634&page=3 HTTP/1.1" 503 405 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:32 +0900] "GET http://planet.edu.vn/component/k2/item/202-gi%C3%A1m-kh%E1%BA%A3o-kh%C3%A1ch-m%E1%BB%9Di-pnet-idol-2012/202-gi%C3%A1m-kh%E1%BA%A3o-kh%C3%A1ch-m%E1%BB%9Di-pnet-idol-2012.html?start=5259 HTTP/1.1" 502 822 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:33 +0900] "GET http://forum.muhhh.org/index.php?page=UserGalleryPhoto&photoID=45&l=2&s=abc434968af7e0ca896e535b2a3f9d210bff3cfd HTTP/1.1" 502 704 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.226.154 - - [23/Mar/2014:05:24:34 +0900] "GET http://rikmccloud.deviantart.com/journal/New-Start-423875238%23comments HTTP/1.1" 502 608 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:24:32 +0900] "GET http://cupark.co.kr/bbs/board.php?bo_table=qa&wr_id=13&page=1 HTTP/1.1" 200 90758 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
85.25.246.62 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.eduno1.net/cmppage/zxly.asp?id=14714 HTTP/1.1" 200 8733 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:25:13 +0900] "GET http://www.xfrenjiapaints.cn/toupiao.asp?page=84206 HTTP/1.1" 502 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.246.62 - - [23/Mar/2014:05:25:58 +0900] "GET http://www.aiesec.or.kr/bbs/view.php?id=Main_board&page=1&sn1=&divpage=1&category=2&sn=off&ss=on&sc=on&select_arrange=hit&desc=desc&no=8 HTTP/1.1" 200 534027 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
85.25.226.154 - - [23/Mar/2014:05:26:04 +0900] "GET http://www.mzllock.com/plus/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 YaBrowser/14.2.1700.12403 Safari/537.36"
192.99.2.75 - - [23/Mar/2014:05:26:38 +0900] "GET http://www.dakarteamholland.nl/index.php?print=1&op=viewpage&page=183&mod_op=add_comment_form&content_id=9&comment_id=8&from=0&from_page=showContent HTTP/1.1" 200 5764 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"

(※ログのほんの一部です)

本来リクエストされたファイル名が出力される部分にhttp://から始まる別ドメインへのURLが出力されているのである。
このログの出力形式について調べたところどうやらproxyサーバーとして稼働した場合に出力されるらしい。。。。
apacheのアクセスログについて 先日、リクエストヘッダが他サイトへのリクエストが…
Apache – proxyを使って人様のアクセスをログする
つまりうちのサーバーが勝手にProxyサーバーとして利用されている?ということみたいだった

しかし、Proxyとして利用する設定にした覚えはないんだけどな~~?っと思いながらapacheの設定を確認すると・・

<IfModule mod_proxy.c>
ProxyRequests On
:

うわ~~!!昔設定していたリバースプロキシの設定が中途半端に残っている!!!
速攻でOFFにしました;;;

P.S
過去のログも組めて調べると11月ごろからちょくちょく中国からProxyサーバーとして使われていました。

IPAが公開しているiLogScannerで解析したところ攻撃と思われるリクエストが3週間ほどで1700件報告されているため
踏み台として利用されていたみたいです。。

iLogScanner

(※該当箇所はすべてProxyアクセスのログでした。)

自分のミスとはいえ改めて不正アクセスの怖さを実感しました。。

Powered by WordPress