[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:40997] apacheのworm-log
- From: 秋里 <akisato1977@xxxxxxxxxxx>
- Subject: [debian-users:40997] apacheのworm-log
- Date: Mon, 12 Jul 2004 17:09:44 +0900
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-apparently-from: <akisato1977@xxxxxxxxxxx>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-users@debian.or.jp
- X-spam-level:
- X-spam-status: No, hits=0.4 required=10.0 tests=FROM_ENDS_IN_NUMS,IN_REP_TO,ISO2022JP_BODY, ISO2022JP_CHARSET,MAILTO_TO_SPAM_ADDR,RCVD_IN_ORBS, REFERENCES,SIGNATURE_SHORT_DENSE,SPAM_PHRASE_00_01 version=2.44
- References: <200407080148.i681mbwo021349@xxxxxxxxxxxxxxxxx> <200407091012.i69AC1Zb001025@xxxxxxxxxxxxxxxxx>
- Message-id: <20040712165502.91DC.AKISATO1977@xxxxxxxxxxx>
- X-mail-count: 40997
- X-mailer: Becky! ver. 2.10.04 [ja]
お世話になります、秋里です。
apacheのログに、IISの脆弱性(?)を突いた
"SEARCH /\x90\x02\xb1〜〜〜" で始まるログが多く記録されたので、
ログを分けようと、worm.logへ分離させたのですが、なぜか今までどおり
access.logにしか記録されません。設定が間違っているのでしょうか。
諸々の情報
ii apache 1.3.26-0woody5 Versatile, high-performance HTTP server
ii apache-common 1.3.26-0woody5 Support files for all Apache webservers
/etc/apache/conf/httpd.conf
SetEnvIf Request_URI "default\.ida" worm-log
SetEnvIf Request_URI "NULL\.IDA" worm-log
SetEnvIf Request_URI "root\.exe|cmd\.exe" worm-log
SetEnvIf Request_URI "SEARCH /\x90\x02\xb1" worm-log
CustomLog /var/log/apache/access.log combined env=!worm-log
CustomLog /var/log/apache/httpd-worm.log combined env=worm-log
この状態ですと、なぜか"default.ida"で始まるログはwormのほうへはけてくれ
るのですが、"SEARCH /\x90\x02\xb1" はaccess.logへ記録されるままです。。
正規表現なのでバックスラッシュもエスケープするのかな?と思い「\\x90\\x02」
など試しましたが状況かわらずです。
apacheのreload、restart等も試しています。
よろしくお願いします。
--
秋里 <akisato1977@xxxxxxxxxxx>