rss ログイン
dialy/2017-03-16 - ひねもす…

wiki:dialy/2017-03-16

ip address - searchclient.live.net anchor.png

サーバーが重いとのことで、確認していたら、ものすごい勢いで以下のログが流れていました。

127.0.0.1 - - [16/Mar/2017:14:52:06 +0900] "GET /BingBar/signed/SeaPort.cab HTTP/1.1" 404 26902 "-" "SeaPort/3.1"

BingBar だと? Linux BOX にはそんなの用意した覚えはないけどな、 でも、アクセス元は Localhost だしな…とログを確認していました。 まさか、感染したか! ともよぎりましたが、だとしても攻撃先は自分だし、 調査してみようとも思ったわけです。

いろいろ試してみましたが、あやしそうなファイルは見つからないですし、プロセスは httpd のようにも見えます。

ふと、httpd のように見える可能性として proxy のログをみると、 同じタイミングでとあるホストからリクエストがきています。

対象ホスト名は searchclient.live.net です。 そもそも proxyのログも含めて検索しておけば、最初にみつかった筈でした。 なぜ、このホストのリクエストが 127.0.0.1 からのアクセスに変わってしまうのか?

# dig searchclient.live.net
searchclient.live.net.  3600    IN      CNAME   searchlive.vo.msecnd.net.
searchlive.vo.msecnd.net. 3600  IN      A       127.0.0.2

えーと。なにしてくれる(笑)

proxy.pac を書き換えて 127.0.0.0/8 は、直接アクセスするように変更しました。


トップ   凍結 差分 バックアップ 複製 名前変更 リロード   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom
Last-modified: 2017-03-16 (木) 20:18:57 (JST) (74d)