2013/01/16

WHS2011 IISのアクセスログをたまにチェックしてみませんか?

image

久しぶりにWHS2011に搭載されてるIISのアクセスログをチェックしてみました。

今回はIISのアクセスログが保存されている場所の説明と、面白いログを発見したのでその内容ご紹介します。

IISのアクセスログの場所

IISのアクセスログはデフォルトだと下記パスに格納されています。

C:\inetpub\logs\LogFiles

LogFiles配下にはW3SVCxフォルダ(xは数字)があり、私の環境では

フォルダ名

内容

W3SVC1 Default Web Site
W3SVC2 WSS Certificate Web Service

があります。

Mac Web Serviceを使うと、W3SVC3が出来るのかな?Macは所有していないので分かりませんが・・・

面白いログ発見!

昔はセキュリティ関連の仕事をしていたので、不正アクセスされたサーバのログ調査をちょっとだけお手伝いした事があります。

※当時流行ったCode RedやNimdaの時代ですが・・・

その経験があるからでしょうか、久しぶりに覗いたWHS2011のアクセスログに面白いログを発見。

2013-01-16 01:40:11 192.168.222.241 GET /vtigercrm/graph.php current_language=../../../../../../../..//etc/elastix.conf%00&module=Accounts&action 443 - 24.249.72.140 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+de;+rv:1.9)+Gecko/2008052906+Firefox/3.0 404 0 2 311

これはVtigerCRMのXSS(クロスサイトスクリプティング)の脆弱性をつくためのアクセスログです。

vtiger CRM におけるクロスサイトスクリプティングの脆弱性-JVNDB-2011-003300

WHS2011でリモートWebアクセスを稼働させる=TCP80番、443番をオープンにしていますので、WebサーバおよびWebサービスに対する今回のようなアクセスログが残る事は少なくないと思います。

人によってはFW等で国内からのIPアドレスのみ許可する設定にしているかもしれませんが、昨今の状況ではこの手法では完全とは言い切れないかも。

※日本国内のゾンビPCからアクセスされれば、ですが・・・

ログの解析や事象を知ることで皆さんのセキュリティ意識向上につながればこれ幸いです。

※思い出しましたが、むかーしConConバグを突いてWindowsを落とす遊びをしました。懐かしいな~

余談:Log Parserを使ってみるのも手ですね

マイクロソフトが無償提供しているログ解析ツール「Log Parser」を使う事でIISのログ解析ができます。

インストールすることで不安定になる事はないと思いますが、自己責任の上で使ってみてはどうでしょうか。

http://technet.microsoft.com/ja-jp/scriptcenter/dd919274.aspx

スポンサーリンク

スポンサーリンク