2001年10月10日現在,Nimdaアタックは沈静化の兆しがいまだ見えない状況だ。Nimdaのアクセスは,Code Redに比べいちどに幾つものアタックを試行するためログ容量も相当なものになる。
日ごろからAnalogなどのツールで解析ツールを使っている場合,ここ数か月ログファイル(access_log)容量の肥大化が気になっているはずだ。ツールによる無駄な解析所要時間を割くために,次のような方法もある。
通常のアクセスログ(access_log)とは別に,ワームアタックのログは分けて保存させるのだ。実現するにはmodモジュールがApacheに組み込まれている必要があるが,標準で組み込まれるため問題ないはずだ。
設定内容は以下の「SetEnvIf」行がポイントになるが,「"」で囲っている文字列を任意で増やしていけば今後のワームにも柔軟に対応できるだろう。次の例は,「default.ida」,「cmd.exe」,「root.exe」を決め打ちでアクセスをしてくるワームに対し,「worm_log」というログファイル名で別に保存をする設定だ。
/etc/httpd/conf/httpd.confまたは, # vi /usr/local/apache/conf/httpd.conf ........ 中略 .......... <IfModule mod_setenvif.c> SetEnvIf Request_URI "default\.ida" worm SetEnvIf Request_URI "cmd\.exe" worm SetEnvIf Request_URI "root\.exe" worm </IfModule> CustomLog logs/access_log common env=!worm CustomLog logs/worm_log combined env=worm ........ 中略 .......... |
Copyright © ITmedia, Inc. All Rights Reserved.