久しぶりにWHS2011に搭載されてるIISのアクセスログをチェックしてみました。
今回はIISのアクセスログが保存されている場所の説明と、面白いログを発見したのでその内容ご紹介します。
IISのアクセスログの場所
IISのアクセスログはデフォルトだと下記パスに格納されています。
C:\inetpub\logs\LogFiles
LogFiles配下にはW3SVCxフォルダ(xは数字)があり、私の環境では
| フォルダ名 | 内容 |
| W3SVC1 | Default Web Site |
| W3SVC2 | WSS Certificate Web Service |
があります。
Mac Web Serviceを使うと、W3SVC3が出来るのかな?Macは所有していないので分かりませんが・・・
面白いログ発見!
昔はセキュリティ関連の仕事をしていたので、不正アクセスされたサーバのログ調査をちょっとだけお手伝いした事があります。
※当時流行ったCode RedやNimdaの時代ですが・・・
その経験があるからでしょうか、久しぶりに覗いたWHS2011のアクセスログに面白いログを発見。
2013-01-16 01:40:11 192.168.222.241 GET /vtigercrm/graph.php current_language=../../../../../../../..//etc/elastix.conf%00&module=Accounts&action 443 - 24.249.72.140 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+de;+rv:1.9)+Gecko/2008052906+Firefox/3.0 404 0 2 311
これはVtigerCRMのXSS(クロスサイトスクリプティング)の脆弱性をつくためのアクセスログです。
WHS2011でリモートWebアクセスを稼働させる=TCP80番、443番をオープンにしていますので、WebサーバおよびWebサービスに対する今回のようなアクセスログが残る事は少なくないと思います。
人によってはFW等で国内からのIPアドレスのみ許可する設定にしているかもしれませんが、昨今の状況ではこの手法では完全とは言い切れないかも。
※日本国内のゾンビPCからアクセスされれば、ですが・・・
ログの解析や事象を知ることで皆さんのセキュリティ意識向上につながればこれ幸いです。
※思い出しましたが、むかーしConConバグを突いてWindowsを落とす遊びをしました。懐かしいな~
余談:Log Parserを使ってみるのも手ですね
マイクロソフトが無償提供しているログ解析ツール「Log Parser」を使う事でIISのログ解析ができます。
インストールすることで不安定になる事はないと思いますが、自己責任の上で使ってみてはどうでしょうか。
http://technet.microsoft.com/ja-jp/scriptcenter/dd919274.aspx