投稿日:2004年11月05日 作成鷹の巣

No.17667 SEARCH /\x90\x02\xb1の膨大なウィルスログ対策、皆さんどうされていますか?



SEARCH /\x90\x02\xb1の膨大なウィルスログ対策、皆さんどうされていますか?

No.17667 投稿時間:2004年11月05日(Fri) 15:07 投稿者名:Ryokucchi URL:

最近の SEARCH /\x90\x02\xb1 の膨大なウィルスログ、
WebDavの脆弱性を利用したワームとのことですが、
皆さんどうされていますか?。うちでは OS が UNIX だか
らいいのですが、一日のログファイルがいつもの2倍ほどに
なってしまい困っています。(^^;)

method が search なのはあまりないのに注目して、
httpd.conf に下記のように書き込んでみました。

SetEnvIf Request_Method "(SEARCH)" nolog

※ SetEnvIf Request_Method "SEARCH" nolog のように
() が抜けると効果ないようです。
↑と書きましたが、GET で試してみたところ、どちらの書き方も
OKでした。しかし、W32.HLLW.Gaobot.gen に対しては、どちら
も nolog の指定は効果ありませんでした(;;)

検索したところでは、エラーコードに注目して、

LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

とされている方もいました。


いやはや。

No.17668 投稿時間:2004年11月05日(Fri) 18:20 投稿者名:Ryokucchi URL:

すみません。

SetEnvIf Request_Method "(SEARCH)" nolog

ではログをとらないようにできませんでした。m(_ _)m

Method は SEARCH とは限らないようです。
GET の場合もありました。
"GET /NULL.IDA?CCCCCC%u0aeb%ub890\x90\x02\xb1\x02
またエラーコードも 414 だけでなく、上記のログの場合は、
404 でした。

今は、
SetEnvIf Request_URI "(\x)" nolog
で試してみています。(^^;)

我が家の場合、10月30日から出没し始めました。一日に0~17回ほどです。


とりあえず私は、414エラーを採用。

No.17672 投稿時間:2004年11月06日(Sat) 17:43 投稿者名:聞疑始 URL:http://homeserver-streaming.com/news/

私もチェックしましたら、案の定ですね。

LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
とりあえず私は言われている↑にしました。


中々手強いです。

No.17673 投稿時間:2004年11月06日(Sat) 20:25 投稿者名:Ryokucchi URL:

> 私もチェックしましたら、案の定ですね。
>
> LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
> とりあえず私は言われている↑にしました。

レスありがとうございます。
URI の部分が長すぎるために、わたしの方法は皆ダメなようです。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
これから↑を試してみます。(^^;)


結構な量があるのでしょうか?

No.17674 投稿時間:2004年11月06日(Sat) 20:47 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> URI の部分が長すぎるために、わたしの方法は皆ダメなようです。
> LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
> これから↑を試してみます。(^^;)

結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
このワームは、pingを打ってからアタックしてくるタイプですか?以前、このタイプのワームに悩まされたので、当方、ICMPを吸い込んでしまうようにルータで設定(存在がわかってしまうので拒否ではだめ。)して、ピタリと止まったのでそのままにしてあります。pingが打てないという弊害はありますが、どうしても必要なときは設定を変えて対処しています。
これが効いていて、ログがないのかと思ったしだいです。


はい、結構な量になります。

No.17675 投稿時間:2004年11月07日(Sun) 01:50 投稿者名:聞疑始 URL:http://homeserver-streaming.com/news/

> 結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
ちょっと見てみると、7/18から手当てをした11/5まで、毎日10件ほどありました(当然以降はなしという過去形です)
概算で25MBぐらいになります。
ちなみにトータルは27MB程度です(正味2MBのアクセス少ないサイトです)


ICMPを遮断するISPも増えてきています。

No.17677 投稿時間:2004年11月07日(Sun) 11:38 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> > 結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
> ちょっと見てみると、7/18から手当てをした11/5まで、毎日10件ほどありました(当然以降はなしという過去形です)
> 概算で25MBぐらいになります。
> ちなみにトータルは27MB程度です(正味2MBのアクセス少ないサイトです)

最近のワームはpingを打つタイプが増えているので、前述のようにICMPを吸い込む(具体的には存在しないプラーベートアドレスにNATしてしまうだけですが)か、設定できるなら無視してはどうですか?
同じような話で、感染拡大を防ぐため、最近はICMPを遮断するISPも増えてきていますよね。


効果ありました。

No.17678 投稿時間:2004年11月08日(Mon) 11:00 投稿者名:Ryokucchi URL:

どうやら下記の設定で、error code 414 URI too long のログを
ログファイルに書き込ませないようにできたようです。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

昨日のログファイルに下記のようなログがありました。
***.**.**.** "-" "-" [07/Nov/2004:15:06:00 +0900] "-" 414 343 "-" "-"

\"%!414r\" が効いて、しっかりと "-" となっています。よかったです。(^^;)


|目次|掲示板|過去ログ目次|▲頁先頭|