何気なくapacheのアクセスログを確認してみたら、”SEARCH /\x90?”で始まる長大なログが記録されていた。wormのようだがapacheにSEARCHなんてディレクティブは無いし、これはなんじゃらほいと調べたら、どうやらWindowsNT系WebDAVの脆弱性を狙ったGAOBOTというものらしい。32kbytesものログを一度に残していかれてはたまらないので対策してみる。
URIが長すぎて414が発生する為、簡単にはフィルター出来ないらしい。色々ググってみた結果、VirtualHostで対策出来る模様。wormは基本的にホスト名を指定せずIP直打ちでアクセスしてくる。VirtualHostの先頭エントリでworm用ダミーを指定し、2番目以降に目的のホストを記述することで、IP直打ちクライアントのログを分けようという試み。設定方法はこちらが詳しい。
設定後、IP直打ちでアクセスしてみてログが振り分けられるのを確認。ほとんど自分用のアクセスしかない自宅サーバでログを分ける必要があるのかどうか怪しいが、まあ念のためということで。
# ついでにメモリ関連の調整もhttpd.confで行った
apacheのwormログ肥大対策
pc
