アタック?--アクセスログ謎のエントリーの原因(MSOffice/cltreq.aspや_vti_bin/owssvr.dllやSlurpConfirm404)
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
このMSOfficeと_vti_bin君のエラーログはたいていの場合、必ずと言って良いほど対(ペア)で記録されています。
このログは、MSOfficeと書いてある通り、マイクロソフト社のOffice製品をインストールしている場合で、ある条件に当てはまる場合に、アクセスしている人間(そのマイクロソフト社製品の利用者)が(多くの場合)意識していないところで自動でアクセスしています。そのある条件とは、Office製品で利用可能な「WEBディスカッション機能」です。「WEBディスカッション機能」の詳細や謎のリクエストの発生条件などは、下記のサイトをご参照ください。
●WEBディスカッション機能
http://obsidian.s53.xrea.com/archives/000509.html
結構、このアクセスは、アタックか何かと勘違いされやすいのですが、アタックではありません。だけど、かなり行儀の悪い仕様だと思います。
アクセスログの中で謎のエントリーは他にもたくさんあります。例えば、
SlurpConfirm404
の存在を見たことのあるかたもおられるでしょう。
どう考えても存在しないURLを何度もリクエストされ、気持ち悪いったらないのですが、これが実はユーザーエージェントが
Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)
になっているので、さらに性質(たち)が悪いです。ホストアドレスはinktomisearch.comになっているし・・・。
Yahoo!がこんな馬鹿なことをするわけがないと先入観があると、余計に混乱し、不安になります。何かのアタックかと? ユーザーエージェントの書き換えはいとも簡単にできたとしても、ホストアドレスの偽装容易ではないはずなのに・・・。PHPのgethostbyaddr関数の裏をつくような方法があるのかな・・・。
しかし、実際は、
●雑記帳/狼どもの熱き砂漠
http://www.twin.ne.jp/~akr_m/free/free
のサイトにも説明がありますように、Yahoo! helpの回答がこのへんてこなリクエストの回答のような気がします。
● 【Yahoo! Help】 Your crawler is asking for strange URLs that have never existed on my site, like /piopio/darkness-halo-bottom-camera.htm. Are you looking on the wrong host?
http://help.yahoo.com/help/us/ysearch/slurp/slurp-10.html
普通、ページが存在しない場合、404リスポンスヘッダーをサーバは返すべきですが、中にはHTTP 200 OK"を返すWEBサーバがあるために、そのサーバがどういう仕様なのかを調べるために、Yahoo!のロボットは、わざと存在しない(であろう)URLをリクエストして、反応を確かめているようです。
しかし、この英語の質問の中では、「/piopio/darkness-halo-bottom-camera.htm」という例示があるのですが、私が見るのは決まって、「SlurpConfirm404」なわけで、このexampleとしてのURLとは似ても似つきません。やはり、Yahoo!のロボットを装っているだけで別のユーザーエージェントなのか・・・、これは未だに確証が持てていません。
| 固定リンク
コメント