| SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02・・・のログを葬る |
Apacheを起動させておいて、数日放っておくと、アクセスログに以下のようなログが記録されてる
場合があります。
"SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 ... \x90\x90\x90\x90"
414 271 "-" "-"
非常に長いログだと思います。そして、アタックされた?とか、凄く不安になることと思います。
結論から言うと、これはIISサーバによるWebDAVを狙ったワームですので、感染とかの問題はありません。
ただ問題なのがこの長さです。これのせいでログを見る気が失せると思います。
また、これを1発喰らっただけで32KBですので、何度も喰らっていたのでは、アクセスログファイルが
大きくなって仕方ありません。
今回はこの迷惑なワームの対処法を紹介したいと思います。基本的にはこのワームの足跡をログに記録しない
という方法を取ります。2つ方法を紹介したいと思います。
| 迷惑なワームログへの対処 |
httpd.confを開いて以下のように設定してください。
| # vi /etc/httpd/conf/httpd.conf # CustomLog logs/access_log common ←500行目付近 CustomLog logs/access_log combined ↓ # CustomLog logs/access_log common Setenvif Request_Method "GET|POST|PUT|DELETE|HEAD|OPTIONS" worm ←追加 CustomLog logs/access_log combined env=worm ←env=wormを追加 |
上のような記述を追加したら保存して終了し、Apacheを再起動すれば以降、先ほどの迷惑なログは記録
されなくなります。
| 迷惑なワームログへの対処+その他のワームログも排除する |
次にもう1つの方法を紹介します。こちらの方法なら、この迷惑なワームだけでなく、違うワームや
不要と思われるものもログに記録しないようにできるので、こちらのほうが便利だと思います。
またhttpd.confの編集を行います。青地部分の追加を行ってください。
| # vi etc/httpd/conf/httpd.conf LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined ←470行目付近 ↓ LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined # CustomLog logs/access_log common ←500行目付近 CustomLog logs/access_log combined ↓ # CustomLog logs/access_log common setenvif Request_URI "default\.ida" no setenvif Request_URI "root\.exe" no setenvif Request_URI "cmd\.exe" no setenvif Request_URI "Admin\.dll" no setenvif Request_URI "NULL\.IDA" no setenvif Request_URI "\.(gif)|(jpg)|(png)|(ico)|(css)$" no CustomLog logs/access_log combined env=!no ←env=!noを追加 |
上のLogFormatの変更をすることによって、例の長い長いワームログをアクセスログに記録しないように
しています。また、下のsetenvifでは、その他にアクセスログに記録したくないものを指定しています。
例えば、ここではその他のワーム以外にも、gifやjpgと言った、画像ファイルもアクセスログに記録
されないようにしています。
これらの変更が終わったら、保存して終了します。そしてApacheを再起動して、設定を有効にします。
また、この方法を取った場合は、1つ目で紹介した方法を行う必要はありません。
どちらか好きな方法で設定してください。
最終更新 : 05/22/2005