Home> W32.HLLW.Gaobot.genへのログ対策...
W32.HLLW.Gaobot.genへのログ対策...
- 2004年4月15日 21:06
SEARCH /\x90\x02\xb1...のログ
3月中旬ごろからApacheのログに大量の「SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\」が見られるようになったが、これはウィルス「W32.HLLW.Gaobot.gen」で IIS5.0/WebDav の脆弱性を狙ったものらしい。
幸いうちの自鯖には影響がないが問題は大量のログで1アタックにつき30KB前後とかなり多い、設定では1週間にログをローテーションして4世代目以降は 削除しているので/varがあふれることはまずないが、アクセス集計であんまり好ましくないと思い、対象のログを削除する設定にしてみた。
httpd.confの編集
SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\のHTTPのステータスコードは414なのでこれ以外はログを記録する設定とした。
httpd.confのLogFormatを編集する。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
黄色い部分を追加
ちなみに、ステータスコード414はHTTP_REQUEST_URI_TOO_LARGE(クエストURIが長いため拒否をした)です。
httpd.confを編集した後はサーバのリセットをお忘れなく。
SEARCH /\x90\x02\xb1...のログ
3月中旬ごろからApacheのログに大量の「SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\」が見られるようになったが、これはウィルス「W32.HLLW.Gaobot.gen」で IIS5.0/WebDav の脆弱性を狙ったものらしい。
幸いうちの自鯖には影響がないが問題は大量のログで1アタックにつき30KB前後とかなり多い、設定では1週間にログをローテーションして4世代目以降は 削除しているので/varがあふれることはまずないが、アクセス集計であんまり好ましくないと思い、対象のログを削除する設定にしてみた。
httpd.confの編集
SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\のHTTPのステータスコードは414なのでこれ以外はログを記録する設定とした。
httpd.confのLogFormatを編集する。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
黄色い部分を追加
ちなみに、ステータスコード414はHTTP_REQUEST_URI_TOO_LARGE(クエストURIが長いため拒否をした)です。
httpd.confを編集した後はサーバのリセットをお忘れなく。
トラックバック:0
- TrackBack URL for this entry
- http://blog1.papanda.jp/cgi-bin/mt-tb.cgi/14
- Listed below are links to weblogs that reference
- W32.HLLW.Gaobot.genへのログ対策... from Linux備忘録
Home> W32.HLLW.Gaobot.genへのログ対策...
コメント:0