WebDAVアタック対処

今年に入ってからポツポツと大きいURIを要求してきた形跡がログに残り始めました。

219.154.35.155 - - [20/Apr/2004:21:37:11 +0900] "SEARCH /\x90\x02\xb1.....(この間、約30KBくらい)..\x90\x90\x90" 414 340 "-" "-"

JPCERTの文書によると、これはIIS5.0のセキュリティホールを突く攻撃である。ワームの一種でWORM_AGOBOT.PYであることが分かった。

以前は数日に一回程度だったが、ここ数日間で一日に10回程度来るようになってきており、そのたびにログにこの長文字列が記録され、かなり邪魔になってきたので、ログを切り分けることにした。

NimdaやCodeRedのログを別ログに吐かせるように次のようなSetEnvIfディレクティブで切り分けようとして、セットしたのだが・・・
(通常のhttpアクセス→httpd-access.log
内部からのhttpアクセス→httpd-internal-access.log
ワーム系→worm.log)

SetEnvIf Request_URI "root\.exe" worm nolog
SetEnvIf Request_URI "cmd\.exe" worm nolog
SetEnvIf Request_URI "\.ida" worm nolog
SetEnvIf Request_URI "Admin\.dll" worm nolog
SetEnvIf Request_URI "\\x90\\x02" worm nolog
SetEnvIf Remote_Host "\.uwan.net" internal nolog
SetEnvIf Remote_Host "localhost" internal nolog

CustomLog /(log_dir)/httpd-access.log combined_with_mod_gzip_info2 env=!nolog
CustomLog /(log_dir)/worm.log combined env=worm
CustomLog /(log_dir)/httpd-internal-access.log combined_with_mod_gzip_info2 env=internal

うまくいかない。 URIの書き方がマズいのかな・・

考えた末、ネームバーチャルホストの設定で逃げることにした。

#
# Use name-based virtual hosting.
#
NameVirtualHost *

<VirtualHost _default_>
CustomLog /(log_dir)/ip-httpd-access.log combined
</VirtualHost>

<VirtualHost *>
Aドメインの設定
</VirtualHost>

<VirtualHost *>
Bドメインの設定
</VirtualHost>

これでひとまず回避できた。でも、問題はまだある。
内部からのhttpアクセスのログもip-httpd-access.logに書いてしまっている。

しかし、何でこの発信元IPは中国韓国なの..?

Posted by thomas at 2004年04月21日 08:33 | トラックバック / アフィリエイトはエーハチネット