No.17667 投稿時間:2004年11月05日(Fri) 15:07 投稿者名:Ryokucchi URL:
最近の SEARCH /\x90\x02\xb1 の膨大なウィルスログ、
WebDavの脆弱性を利用したワームとのことですが、
皆さんどうされていますか?。うちでは OS が UNIX だか
らいいのですが、一日のログファイルがいつもの2倍ほどに
なってしまい困っています。(^^;)
method が search なのはあまりないのに注目して、
httpd.conf に下記のように書き込んでみました。
SetEnvIf Request_Method "(SEARCH)" nolog
※ SetEnvIf Request_Method "SEARCH" nolog のように
() が抜けると効果ないようです。
↑と書きましたが、GET で試してみたところ、どちらの書き方も
OKでした。しかし、W32.HLLW.Gaobot.gen に対しては、どちら
も nolog の指定は効果ありませんでした(;;)
検索したところでは、エラーコードに注目して、
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
とされている方もいました。
No.17668 投稿時間:2004年11月05日(Fri) 18:20 投稿者名:Ryokucchi URL:
すみません。
SetEnvIf Request_Method "(SEARCH)" nolog
ではログをとらないようにできませんでした。m(_ _)m
Method は SEARCH とは限らないようです。
GET の場合もありました。
"GET /NULL.IDA?CCCCCC%u0aeb%ub890\x90\x02\xb1\x02
またエラーコードも 414 だけでなく、上記のログの場合は、
404 でした。
今は、
SetEnvIf Request_URI "(\x)" nolog
で試してみています。(^^;)
我が家の場合、10月30日から出没し始めました。一日に0~17回ほどです。
No.17672 投稿時間:2004年11月06日(Sat) 17:43 投稿者名:聞疑始 URL:http://homeserver-streaming.com/news/
私もチェックしましたら、案の定ですね。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
とりあえず私は言われている↑にしました。
No.17673 投稿時間:2004年11月06日(Sat) 20:25 投稿者名:Ryokucchi URL:
> 私もチェックしましたら、案の定ですね。
>
> LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
> とりあえず私は言われている↑にしました。
レスありがとうございます。
URI の部分が長すぎるために、わたしの方法は皆ダメなようです。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
これから↑を試してみます。(^^;)
No.17674 投稿時間:2004年11月06日(Sat) 20:47 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
> URI の部分が長すぎるために、わたしの方法は皆ダメなようです。
> LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
> これから↑を試してみます。(^^;)
結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
このワームは、pingを打ってからアタックしてくるタイプですか?以前、このタイプのワームに悩まされたので、当方、ICMPを吸い込んでしまうようにルータで設定(存在がわかってしまうので拒否ではだめ。)して、ピタリと止まったのでそのままにしてあります。pingが打てないという弊害はありますが、どうしても必要なときは設定を変えて対処しています。
これが効いていて、ログがないのかと思ったしだいです。
No.17675 投稿時間:2004年11月07日(Sun) 01:50 投稿者名:聞疑始 URL:http://homeserver-streaming.com/news/
> 結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
ちょっと見てみると、7/18から手当てをした11/5まで、毎日10件ほどありました(当然以降はなしという過去形です)
概算で25MBぐらいになります。
ちなみにトータルは27MB程度です(正味2MBのアクセス少ないサイトです)
No.17677 投稿時間:2004年11月07日(Sun) 11:38 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
> > 結構な量があるのでしょうか?少し心配になって昨日1日の総ログ量35MByteを調べて見ましたが1件もありませんでした。
> ちょっと見てみると、7/18から手当てをした11/5まで、毎日10件ほどありました(当然以降はなしという過去形です)
> 概算で25MBぐらいになります。
> ちなみにトータルは27MB程度です(正味2MBのアクセス少ないサイトです)
最近のワームはpingを打つタイプが増えているので、前述のようにICMPを吸い込む(具体的には存在しないプラーベートアドレスにNATしてしまうだけですが)か、設定できるなら無視してはどうですか?
同じような話で、感染拡大を防ぐため、最近はICMPを遮断するISPも増えてきていますよね。
No.17678 投稿時間:2004年11月08日(Mon) 11:00 投稿者名:Ryokucchi URL:
どうやら下記の設定で、error code 414 URI too long のログを
ログファイルに書き込ませないようにできたようです。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
昨日のログファイルに下記のようなログがありました。
***.**.**.** "-" "-" [07/Nov/2004:15:06:00 +0900] "-" 414 343 "-" "-"
\"%!414r\" が効いて、しっかりと "-" となっています。よかったです。(^^;)