Apache Archive

SEARCH /\x90\x02\xb1...のログ

3月中旬ごろからApacheのログに大量の「SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\」が見られるようになったが、これはウィルス「W32.HLLW.Gaobot.gen」で IIS5.0/WebDav の脆弱性を狙ったものらしい。
幸いうちの自鯖には影響がないが問題は大量のログで1アタックにつき30KB前後とかなり多い、設定では1週間にログをローテーションして４世代目以降は 削除しているので/varがあふれることはまずないが、アクセス集計であんまり好ましくないと思い、対象のログを削除する設定にしてみた。

httpd.confの編集

SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\のHTTPのステータスコードは414なのでこれ以外はログを記録する設定とした。
httpd.confのLogFormatを編集する。

LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

黄色い部分を追加

ちなみに、ステータスコード414はHTTP_REQUEST_URI_TOO_LARGE（クエストURIが長いため拒否をした）です。

httpd.confを編集した後はサーバのリセットをお忘れなく。

httpd.confを編集する。

Apacheでproxy経由からアクセスを制限したいときはrewriteを使います。ただし、すべてのProxyサーバが対象となるわけではないので １つの選択肢として使いましょう。

rewrite機能を有効にするにはrewriteモジュールが必要になる。ない場合は再インストールをして組み込みます。

<VirtualHost>?</VirtualHost>間に下記内容を記述します。

RewriteEngine on <- rewriteを有効にする。
RewriteCond %{HTTP:Via} . [OR] <- 条件が複数の場合は[OR]を後ろに記述する。
RewriteCond %{HTTP:Forwarded} . <- 条件となるHTTPヘッダを記述する。
RewriteRule ^/(.*) http://err.kuma-neko.jp/ [L,R] <- 上記条件の場合、表示させるHPアドレス

特定のIPアドレスからのアクセスをご遠慮したい場合は下記のように記述する。またHTTPヘッダーを変えることで ブラウザの種類やリンク元のURLを判断して別のHPを見せるということもできる。

RewriteCond %{Remote_Addr} ^218\.145\.25\.48