普段 webalizer でログ解析してるので、生ログを直接調べるといのは滅多にしないんだが、ここ数日ちょっと見る機会があって気がついたんだが、下記のようなログが結構残ってた。

SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1....

どうやら IIS WebDAV を狙った攻撃らしい。

こういったアクセスでメインのログを一杯にしないようにいくつか httpd.con で定義して別ログに出力するようにしている。ということで今回も下記のように追加してみた。いやまだ設定したばかりなのでうまく行ってるか分からないので、よい子は真似しないで下さい ^^;

SetEnvIf Request_URI "^/\x90\x02/" worm nolog
SetEnvIf Request_Method "(SEARCH)" worm nolog

Request_URI だと URI が長すぎてうまく弾けないらしく、このワームの場合 SEARCH メソッドを使用してるので、それで弾くといいらしい。SEARCH メソッド自体は WebDAV で使ってるので、自分なんかは今のところ必要ないのでそうしておいた。参考にしたページでは、SEARCH を単独指定した場合うまく動かなく、有効なメソッドを定義してそれ以外を弾く、という方法をとっていたが、何故か自分のところではちゃんと動いている。SEACH を括弧でくくるのがポイントか？ ^^;

【参考になったページ】
ワームのログを分離する
謎ログ index