カテゴリ: Web/blog WebDAVの脆弱性をねらった攻撃
WebDAVの脆弱性をねらった(らしい)攻撃が鬱陶しくてたまらないので、(Apacheのhttpd.confに)対策を試みましたが、どうもうまくいきません。
SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\x…
という記録が1回につき32KBもずらずら続くのでログも読み辛いですし困っています。
httpd.confに
SetEnvIf Request_URI "\\x90.+" worm_log no_log
などと書いてみましたがダメ。
正規表現は使えるらしいけど…
ならばRequest_Method
SetEnvIf Request_Method SEARCH worm_log no_log CustomLog /usr/local/apache/logs/worm_log combined env=worm_log
とやってみましたがこれも効かず。
その後、逆の発想でhttpd.confを書いて試したところ、うまく振り分けることができました。
それは、通常の(GET/POST等の)リクエストを通し、それ以外ならログを分けてしまうという方法です。
SetEnvIf Request_Method "(GET)|(POST)|(PUT)|(DELETE)|(HEAD)" pass SetEnvIf Request_URI "default\.ida" !pass SetEnvIf Request_URI "NULL\.ida" !pass SetEnvIf Request_URI "cmd\.exe" !pass SetEnvIf Request_URI "root\.exe" !pass SetEnvIf Request_URI "Admin\.dll" !passCustomLog /usr/local/apache/logs/access_log combined env=pass CustomLog /usr/local/apache/logs/worm_log combined env=!pass
と書いてみたら、きちんと振り分けできました。
Request_Method部分は自分のところの環境で異なるとは思いますが、一応こんな感じで様子を見ることにします。
VirtualHostで弾くのが有効との情報を頂いたので後で試してみようと思います。
2004/4/20 13:14 | URI | Web/blogカテゴリの記事をすべて読む