> 記事 > 未分類 > Webのログからわかること。リンク切れ、Webサイト攻撃

Webのログからわかること。リンク切れ、Webサイト攻撃

2014.06.12.(Thu)Masahiro Natori By.Masahiro Natori
カテゴリー:未分類
タグ

こんにちは、masaです。

今朝のパースは5度近くまで冷え込みました。
この時期は7時前でもまだ暗く、それだけでも寒々しいです。

それでも日中は天気もよく20度近くまで上がるようです。
この時期は、街を歩いていると、真冬の格好をしている人と
真夏の格好をしている人、両方を見かけます。
ロングコートにマフラーを巻いたおばさんを見たかと思えば、
直後にタンクトップに短パン、ビーチサンダルで歩いている
おじさんがいたりします。
ホント、何でもアリの面白い街です。

パース通信のリニューアルについて


先日、パース通信という、オーストラリア・パースのポータルサイトの
リニューアルを行いました。

パース通信

perthnews


2001年からほぼ変わらないhtmlで構築されたサイトをスッキリとしたデザインに変更し、サーバーの移転・増強、CMS(WordPress)の導入など、これまでなかなか手のつけられなかった部分を一気に変更しました。

パース通信自体が大変人気のあるサイトで、検索エンジンでも常に上位に表示されていたので、従来存在しているページはなるべくこれまでのURLを変更せずに運用できるように、WordPressと通常のhtmlファイル、phpの掲示板が並列に存在するハイブリッド構造にしました。
特に掲示板の書き込みはパースの日本語コミュニティとしては最も活発なので、サーバーの移転後も同じように利用していただけるよう、気を配りました。

それでもパース通信自体には膨大なコンテンツがあり、なかなかスッキリとした移行が出来ず、利用者の方には一部ご迷惑をおかけしてしまった部分もあるようです。申し訳ありませんでした。
さて、そのウェブサーバーの移行するにあたって、いろいろと気づいたことなどを書いてみたいと思います。

リンク切れの発見(その1)


移行時にリンク切れのチェックを行いました。
リンク切れの確認には、W3Cリンクチェッカーを利用しました。

W3C Link Checker

こちらでは主に外部リンクのリンク切れについてチェックしました。
パース通信のトップページには、カテゴリ別にかなりのリンクが作成されています。例としては、政府関係、日常生活、スーパー、家電、地図、新聞、スポーツ、パース周辺の観光施設、日本人コミュニティなど、リンク先のウェブサイトが一部リンク切れになっている部分があったので、その対処を順次行っています。

リンク切れの発見(その2)


そして、本来はないに越したことはないのですが、ユーザーが訪れたログから、リンク切れを発見し、修正したケースもいくつかありました。
ウェブのログではユーザーがリクエストしたすべてのページについてログが発生するので、リクエストしたページが存在しなかった場合、

404 Not Found

というステータスが返されます。その404ステータスが返されているログを確認し、不備があるリンクやウェブサイトにアップロードし損ねているファイルを探したりしました。

今回作業していて不備を発見したページがあったのですが、そのページには多くの画像ファイルが表示されていて、その画像ファイルの名前がcity(1).jpg というようなカッコつきのファイル名ついていました。
それがどういうわけか私が作業している最中にカッコ無しの city1.jpg というようにカッコがが取れてしまっていて、ファイル名は変わってしまっていたので画面上に表示されず、もう一度正しい名前でアップロードし直した、ということがありました。

ウェブサイトのログとは


ウェブサイトのログとは、ウェブサーバーにどのようなリクエストがあり、それに対してウェブサーバーがどのように返したか、ということが記録されているものです。
htmlファイルから画像ファイルまで、すべてのリクエストが記録されているため、パース通信のアクセスログはかなり膨大な量になります。
先ほど確認してみたところ、6/10の24時間のログだけで5万件を超えていました。

ウェブログのイメージ
weblog
ログファイルはテキスト形式なので、一般のエディタでも見ることは可能です。アクセスがそれほど多くないサイトであれば、テキストで見るだけでも十分なのですが、パース通信のログのように1日で5万件というような大量のログを見る必要があるときは、専用のアプリケーションを利用して確認することをおすすめします。
私のおすすめはApache Logs Viewerというソフトです。
このソフトを利用すると、テキストのログファイルを日別、IPアドレスごとに整理して見られますし、トータルでのリクエスト数、エラー数なども確認することが出来ます。
最新版はApache Logs Viewerからダウンロードできますが、個人的には日本語化された古いバージョンの方が使い慣れています。ApacheLogViewer2.9.5
ただし、最新版にはアクセス元の国が表示される機能があり、これは大変便利ですね。

参考
Apache Log Viewer2.9.5
ApacheLogViewer2
Apache Log Viewer3.4.4
ApacheLogViewer3
私の場合は、エラーがとなっているレコードについて一通り確認しています。エラーとなった理由が、
(1)本来表示されていなければならないものが、エラーになっている場合
(2)サイトを移転したことにより、一部URLが変更になったもの
(3)それ以外

のどれにあたるかを確認し(1)にあたる場合にはなるべく早い対処を行っています。

さて、(3)にはどのようなケースが当てはまるか、というと、かなりの割合でWebサイトへの攻撃の前段階であることが多いです。

ウェブサイトへの攻撃について


インターネットのウェブサイトは、
「24時間、誰でも訪れることが出来る」
というメリットがあるのと同時に、
「24時間、攻撃に晒される」
というデメリットもあります。

実際に、ウェブサイトのログを確認してみると、そういった攻撃の跡というのがあちこちに見られました。今回調査した中で特に多かったのは、FCKeditor というウェブ上で使用できるエディタを狙ったと思われるものです。この脆弱性は現在リリースされているバージョンでは改善されているようですが、2009年あたりの古いバージョンだと、任意のファイルを
アップロードできてしまう、というバグがあったようです。
パース通信のウェブサイトには、FCKeditorを設置していないので、いくらリクエストがあっても問題はありませんが、FCKeditorが設置されていそうな、URLをリクエストするという、攻撃の前段階のログがかなりの数、残っていました。

FCKeditorへのリクエスト
attack
このURLのリクエスト元はいくつかありましたが、中国からのアクセスが多かったようでした。
もし、攻撃者の思惑通りの場所にFCKeditorを設置していたら、下手すると「サイトの乗っ取り」のようなことが行われているかと思うと、ゾッとします。

まとめ


Webサイトへのアクセス情報を見るには、Google Analyticsを利用している場合が大変多いと思います。(弊社でも利用しています)このツールは大変便利で利用価値がありますが、確認できるのはウェブサイトがきちんと表示できたケースだけであり、アクセスエラーなどの確認には適していません。
このようなケースではウェブサーバーのログファイルをダウンロードして、アクセスの状況などを確認してみる必要があると思います。

また、攻撃の前段階らしいアクセスが確認できるのもこのログファイルのみなので、脆弱性情報などと合わせて確認すると、なお安心です。

Masahiro Natori

Masahiro Natori
こんにちはMasaです。39歳の時に16年勤めた会社を辞め、2013年4月に家族で日本からパースに引っ越してきました。2013年6月よりGITSに勤務。2014年1月にGITSのサポートでProgrammerとして457ビザを取得。 趣味は音楽を聴くことと、部屋のレイアウトを変えること、ドライブすること。
  • facebook
  • twitter