W32.HLLW.Gaobot.genへのログ対策...
SEARCH /\x90\x02\xb1...のログ
3月中旬ごろからApacheのログに大量の「SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\」が見られるようになったが、これはウィルス「W32.HLLW.Gaobot.gen」で
IIS5.0/WebDav の脆弱性を狙ったものらしい。
幸いうちの自鯖には影響がないが問題は大量のログで1アタックにつき30KB前後とかなり多い、設定では1週間にログをローテーションして4世代目以降は削除しているので/varがあふれることはまずないが、アクセス集計であんまり好ましくないと思い、対象のログを削除する設定にしてみた。
httpd.confの編集
SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\のHTTPのステータスコードは414なのでこれ以外はログを記録する設定とした。
httpd.confのLogFormatを編集する。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
黄色い部分を追加
ちなみに、ステータスコード414はHTTP_REQUEST_URI_TOO_LARGE(クエストURIが長いため拒否をした)です。
httpd.confを編集した後はサーバのリセットをお忘れなく。