[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:40997] apacheのworm-log



お世話になります、秋里です。

apacheのログに、IISの脆弱性(?)を突いた
"SEARCH /\x90\x02\xb1〜〜〜" で始まるログが多く記録されたので、
ログを分けようと、worm.logへ分離させたのですが、なぜか今までどおり
access.logにしか記録されません。設定が間違っているのでしょうか。

諸々の情報

ii  apache         1.3.26-0woody5 Versatile, high-performance HTTP server
ii  apache-common  1.3.26-0woody5 Support files for all Apache webservers

/etc/apache/conf/httpd.conf
SetEnvIf Request_URI "default\.ida" worm-log
SetEnvIf Request_URI "NULL\.IDA" worm-log
SetEnvIf Request_URI "root\.exe|cmd\.exe" worm-log
SetEnvIf Request_URI "SEARCH /\x90\x02\xb1" worm-log

CustomLog /var/log/apache/access.log combined env=!worm-log
CustomLog /var/log/apache/httpd-worm.log combined env=worm-log

この状態ですと、なぜか"default.ida"で始まるログはwormのほうへはけてくれ
るのですが、"SEARCH /\x90\x02\xb1" はaccess.logへ記録されるままです。。
正規表現なのでバックスラッシュもエスケープするのかな?と思い「\\x90\\x02」
など試しましたが状況かわらずです。
apacheのreload、restart等も試しています。

よろしくお願いします。

-- 
秋里 <akisato1977@xxxxxxxxxxx>