仕事は一段落。暇なうちに社内ネットワーク機器関係の整備を進めねば、ということで色々お買い物候補を Web で物色。 楽しい。
それにしても Nimda や CodeRed はウザイ。思い立ってここ一ヶ月分の家の Apache (http://sake-nikki.dyndns.org/を運営してる) の access_log を解析してみたら、
- ヒット数 : 29789
- ページビュー : 819
98%強のアクセスがワームの類。無駄無駄無駄ぁ! ・・・てことで、今更ながら、
SetEnvIf Request_URI default\.ida? WORM SetEnvIf Request_URI cmd\.exe WORM SetEnvIf Request_URI root\.exe WORM CustomLog logs/warm_log combined env=WORM CustomLog /var/log/httpd/access_log combined env=!WORM
と httpd.conf に設定して、ワームのログは warm_log に切り分けるようにしてみた。
もっと徹底するならワームを送り込んできたホストのIPを取っておいて、ipchains (kernel2.2だから) でパケットフィルタリングで叩き落とすか。いちいち面倒だけど。
ipchains -A input -p TCP -s aaa.bbb.ccc.ddd -d 0.0.0.0/0 www -j REJECT
てな風に。
# port 80(http) と 22(ssh) 以外のリクエストは外側のルータで落としてるので、取り立てて気にしていない。
