Top/Linux/Apache/Tips/WebDAV脆弱性狙いのワーム対策

WebDAV脆弱性狙いのワーム対策 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• Linux/Apache/Tips/WebDAV脆弱性狙いのワーム対策 へ行く。
• Linux/Apache/Tips/WebDAV脆弱性狙いのワーム対策 の差分を削除

アクセスログが~
 SEARCH /\x90\x02\x90\x02・・・(略)
とめっちゃ長い例のワーム（W32.HLLW.Gaobot）について。

ワームの目標はIISなので実害はないが、ログがウザいので隔離したい。~


まず、ロググッバイ。
 sed '/SEARCH/d' /usr/local/apache2/logs/access_log > /usr/local/apache2/logs/access_log.tmp 
 mv /usr/local/apache2/logs/access_log.tmp /usr/local/apache2/logs/access_log

*方法1 SetEnvIf
リクエストで判別する。
 vi /usr/local/apache2/conf/httpd.conf
>
 SetEnvIf Request_Method "(GET)|(POST)|(PUT)|(DELETE)|(HEAD)" log
 
 SetEnvIf Request_URI "_vti_inf\.html$" warn !log
 SetEnvIf Request_URI "^/_mem_bin/" warn !log
 SetEnvIf Request_URI "^/_vti_bin/" warn !log
 SetEnvIf Request_URI "^/c/" warn !log
 SetEnvIf Request_URI "^/d/" warn !log
 SetEnvIf Request_URI ^/scripts/ warn !log
 SetEnvIfNoCase Request_URI "^/msadc/" warn !log
 
 #Code Red
 SetEnvIf Request_URI "default\.ida" warn !log
 
 #WINNTAutoAttack
 SetEnvIfNoCase Request_URI "null\.ida" warn !log
 
 #NIMDA
 SetEnvIf Request_URI "cmd\.exe" warn !log
 SetEnvIf Request_URI "root\.exe" warn !log
 SetEnvIf Request_URI "Admin\.dll" warn !log
 
 SetEnvIf Request_URI "(\.gif|\.jpe?g|\.png|\.css|\.js)$" !log
 SetEnvIf Remote_Addr "^192\.168\." !log
 SetEnvIf Remote_Addr "^127\.0\." !log
 SetEnvIf referer "example\.com" !log
 
 CustomLog /var/log/apache2/access.log combined env=log
 CustomLog /var/log/apache2/warn.log combined env=warn
<

**いっそのこと
 LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
を
 LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
にして414（Request-URI Too Long）のときは捨ててしまうっていうのもアリかと。

*方法2 VirtualHostで囮を作る
ワームはIPアドレスをランダムに選んでアクセスしてきていることが多く、ホスト名を知らない。つまりIP直でのアクセスを隔離すればいい。
 vi /usr/local/apache2/conf/httpd.conf
>
 NameVirtualHost *
 <VirtualHost *>
   DocumentRoot /var/www_dummy
   ErrorLog     /var/log/apache2/warn_error.log
   CustomLog    /var/log/apache2/warn.log  combined
   <Location />
     Order deny,allow
     Deny from all
   </Location>
 </VirtualHost>
 <VirtualHost *>
   ServerName example.com
   DocumentRoot /var/www
 </VirtualHost>
<

*参考
-[[mieki256's diary>http://blawat2015.no-ip.com/~mieki256/diary/?20040419#200404191]]

*Amazon
#amazon(4774119113,left)
#amazon(4873111501,left)
#amazon(487311182X,left)
#amazon(4872805062,left)
#amazon(B00BH772VU,left)