2004-05-24
_ [tDiary] Referer 表示の設定を少し変更
referer-utf8.rb を有効にして Google 検索の文字化けを無くしたのと、某アンテナを表示しないようにした。
そろそろ tDiary のバージョン上げようか。
_ [apache][debian] worm のアクセスログ
SEARCH /\x90\x02\xb1\x02\xb1…
ワームの攻撃 1 回毎に 30KB ほどのログが溜まってしまう。
攻撃自体による実害は無いのだが、放置しておくとディスクが溢れてしまう。 今までは、 SetEnvIf を用いて worm のアクセスは別のファイルに記録し、早めに圧縮していた。 しかし今回は、同じ方法が上手く行かない。 調べてみたところ、 414 (Request-URI Too Long) になる場合には、正規表現マッチが行われないようだ。
Host request-header が無いことを利用してファイルを分ける方法もあるようだが、副作用が大きいし、本質的でないのであまりやりたくない。
根本的対策は、 2ch の投稿 にあるように、 414 になったアクセスの URI は記録しないことだろう。 早速、これを採用させてもらった。
以下が、現在の worm 除け設定。 debian で apache2 を使っているのなら、 /etc/apache2/conf.d/ 以下にファイルを置けばよい。
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
SetEnvIf Request_URI "NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN" wormlog
#SetEnvIf Request_URI "\x90\x90\x90\x90\x90\x90\x90\x90" wormlog
CustomLog /var/log/apache2/worm.log combined env=wormlog
CustomLog /var/log/apache2/access.log combined env=!wormlog
_ [book] Code Reading
Matzにっき より。
なかなか興味深い。 「第9章 アーキテクチャ」「第10章 コードを読むためのツール」の内容次第か。 だが、目次で見る限り 10 章は短か過ぎるようだ。
とりあえず、発売になったら買ってみよう。
[ツッコミを入れる]