[plamo:10670] Re: Log of apache

[早間義博]

> 
> 「アタックをしているサーバの管理者に対して、攻撃を止めるよう
> 連絡したりはしないのか？」とサービス会社に問い合わせた所、
> 
> 「IPを偽称しているホストがあり無理だ」という返事をもらいまし
> た。その時はそれなりに納得したのですが、JPCERTの記事などを参
> 考にすると、Code Redの場合は
> 

log の中から
> > "GET /default.ida?XX..."
のあるものを抽出するとそろそろ１万件に達します。以前は ？ の後に
XXX または NNN が続いていたのですが、最近は XXX から始まるものも
います。すべて IP アドレスでの攻撃です。一応 Virtual host にして
IP アドレスへの接続は default で別 log にしました。
中には co.jp ドメインで特定出来るのもありますが、IP の詐称(?)かも
しれません。
攻撃者の ip で集計すると国内の某プロバイダのダイアルアップ経由が最
も多いので、某プロバイダならば攻撃者を特定出来ると思うのですが、
連絡するべきか迷っています。
IP をクラスＣで分類しカウントすると延べ三千位になりますが大半は同
一IP から１回からですが、中には１００を越えるお得意様もいらっしゃ
います。

> 
> apache の log をとるときに、hostname lookup を On(あるいはYesかTrue) 
> にされてませんでしょうか？Off(あるいはNoかFalse) にすると、生IPaddrが
> 記録されるはずで、たぶん、そのホストの逆引きが 61.141.gd.cn になってい
> るのだと思います。
> 

これは気が付きませんでした。
（hostname lookup を On にしています。）
上記「攻撃者様」用の log は hostname lookup を Off にしました。

> 
> ちょっと調べてみました。
> 
> jump:~$ host -v -t a 61.141.1.0
> rcode = 0 (Success), ancount=1
> The following answer is not authoritative:
> The following answer is not verified as authentic by the server:
> 0.1.141.61.IN-ADDR.ARPA 85978 IN        PTR     61.141.GD.CN
略
> 
> このように、逆引きは設定されているようです。
> 従って、IPアドレスを偽称しているわけではないと思います。
> 

辰己さんのおっしゃるとおりなのですね。