Apacheのaccess_logsでドメインを見つける
私は、存在せず存在しなかったファイルに対する奇妙なリクエストを受信しているサーバーを担当しており、それらがどのアカウントからのものかを探しています(CentOS + Plesk)
ログは次のようになります。
65.52.129.119 - [09/Jul/2015:16:30:35 +0100] "GET /FPURL.xml HTTP/1.1" 262ms 404 272 "-" "-"
65.52.129.119 - [09/Jul/2015:16:30:35 +0100] "GET /FPURL.xml HTTP/1.1" 263ms 404 275 "-" "-"
ご覧のとおり、誰かがファイルFPURL.xmlにアクセスしようとしますが、ドメインまたはアカウントを言っていません。
それがどこから来たのかを見つける方法はありますか?
すでにApacheのドキュメントを確認しましたが、私が見た唯一の%hは推奨されません%Uは私に/FPURL.xmlを提供します。
これは、一見、Microsoft Hostingの顧客がSharePointファイルにアクセスしようとしているように見えます。単純なオンラインデータ収集作業である場合もあれば、脆弱性を探しているマルウェアに感染したコンピュータである場合もあります。どちらの方法でも可能です。このパターンに関する情報はまだほとんどありません。このファイルを検索するマルウェアが存在する可能性がありますが、すぐにしっかりしたものを見つけることができませんでした。また、SharePointの一般的なファイルのようであり、このタイプのリクエストは珍しくありません。私はSharePointについて十分なコメントができず、特定の脆弱性を認識していません。 NVDデータベースは何も参照しません。まったく新しいものでも、まったくないものでもかまいません。
それは私が心配しすぎることではありません。
SharePointを使用している場合は、SharePointが最新かつ安全であることを確認してください。そうでない場合は、心配しないでください。404にしてください。痛みがある場合は、ブロックできます。
Apacheを想定:
RewriteRule ^/?FPURL\.xml$ - [F,L]
これは、サーバー構成ファイル内で定義されていないIPアドレスまたはドメイン名を使用してサーバーに宛てられた可能性があります。一部のApacheインストールでは、インストール直後にキャッチオールサイトが有効になっています。要求が定義されたドメイン名と一致しない場合、キャッチオールサイトが要求を処理します。キャッチオールサイトは、通常/var/log/Apache2/access_logのようなデフォルトのログファイルを使用しますが、これと完全に一致する必要はありません。すべてはインストールパッケージに依存します。これが起きている可能性が高いです。それでも、心配することはありません。
%v logディレクティブを使用して、「リクエストを処理するサーバーの標準ServerName」を記録するようにApacheを設定します。 Apacheログ形式を次のように構成します。
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %v" combinedserver
CustomLog /var/log/Apache/access_log_virtual_hosts combinedserver