| net上ではCode Red,NIMDA,nachiなどにあいかわらず感染しているサーバーがあります。 analogを利用してapacheのログからアクセス解析をしていますが、最近これらワームからのアクセスが非常に多くて解析結果がメチャメチャです。 ネット上ではアクセスするファイルからワームを割り出してログを別けるやりかたが紹介されていますが、nachi等はルートディレクトリをアクセスするので本当のアクセスと区別が困難です。 しかし、ワームはIPアドレスでアクセスしてくることを利用してapacheのバーチャルホストの設定でワームからのアクセスを別のログファイルに別けることができます。 httpd.confに以下を書き加えます。(*.*.*.*は環境にあわせたIPアドレスです。)
apachのバーチャルサーバーは一致するSererNameがなかった場合最初の設定を利用します。 正規のアクセスは通常www.kids-clinic.jpでアクセスしてきますので2番目の設定に該当し、 access.logにログが残ります。 ワームはIPアドレスでアクセスしてくるので一致するServerNameがないため w-access.log にアクセスが残ります。 IPアドレス指定でのアクセスのであれば今後新たに出現するワームからのアクセスでも対処可能だと思います。 |
|