[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:40997] apacheのworm-log

From: 秋里 <akisato1977@xxxxxxxxxxx>
Subject: [debian-users:40997] apacheのworm-log
Date: Mon, 12 Jul 2004 17:09:44 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-apparently-from: <akisato1977@xxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-spam-level:
X-spam-status: No, hits=0.4 required=10.0 tests=FROM_ENDS_IN_NUMS,IN_REP_TO,ISO2022JP_BODY, ISO2022JP_CHARSET,MAILTO_TO_SPAM_ADDR,RCVD_IN_ORBS, REFERENCES,SIGNATURE_SHORT_DENSE,SPAM_PHRASE_00_01 version=2.44
References: <200407080148.i681mbwo021349@xxxxxxxxxxxxxxxxx> <200407091012.i69AC1Zb001025@xxxxxxxxxxxxxxxxx>
Message-id: <20040712165502.91DC.AKISATO1977@xxxxxxxxxxx>
X-mail-count: 40997
X-mailer: Becky! ver. 2.10.04 [ja]

お世話になります、秋里です。

apacheのログに、IISの脆弱性（？）を突いた
"SEARCH /\x90\x02\xb1〜〜〜" で始まるログが多く記録されたので、
ログを分けようと、worm.logへ分離させたのですが、なぜか今までどおり
access.logにしか記録されません。設定が間違っているのでしょうか。

諸々の情報

ii  apache         1.3.26-0woody5 Versatile, high-performance HTTP server
ii  apache-common  1.3.26-0woody5 Support files for all Apache webservers

/etc/apache/conf/httpd.conf
SetEnvIf Request_URI "default\.ida" worm-log
SetEnvIf Request_URI "NULL\.IDA" worm-log
SetEnvIf Request_URI "root\.exe|cmd\.exe" worm-log
SetEnvIf Request_URI "SEARCH /\x90\x02\xb1" worm-log

CustomLog /var/log/apache/access.log combined env=!worm-log
CustomLog /var/log/apache/httpd-worm.log combined env=worm-log

この状態ですと、なぜか"default.ida"で始まるログはwormのほうへはけてくれ
るのですが、"SEARCH /\x90\x02\xb1" はaccess.logへ記録されるままです。。
正規表現なのでバックスラッシュもエスケープするのかな？と思い「\\x90\\x02」
など試しましたが状況かわらずです。
apacheのreload、restart等も試しています。

よろしくお願いします。

-- 
秋里 <akisato1977@xxxxxxxxxxx>

Follow-Ups:
- [debian-users:40998] Re: apacheのworm-log
  - From: YOSHIFUJI Hideaki / 吉藤英明
- [debian-users:41000] Re: apacheの worm-log
  - From: Yutaka KAWABE

References:
- [debian-users:40968] パッケージについて調べるとき
  - From: Hideki Yamane
- [debian-users:40987] Re: パッケージについて調べるとき
  - From: Hideki Yamane

Prev by Date: [debian-users:40996] Re: 液晶モニタへの再設定は？
Next by Date: [debian-users:40998] Re: apacheのworm-log
Previous by thread: [debian-users:40987] Re: パッケージについて調べるとき
Next by thread: [debian-users:40998] Re: apacheのworm-log
Index(es):
- Date
- Thread