Re: [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache

On Mon, 15 Nov 2004 22:53:26 +0100, Rev3rse <igor.piazza@xxxxxxxxx> wrote:
> Mi rispondo da solo; dovrebbe bastare modificare httpd.conf in questo modo:
> SetEnvIf Request_URI ".*\\x[0-9a-fA-F]{2}.*" worm
> 
> CustomLog /var/log/apache/access.log combined env=!worm
> 
> # Logging in attacks.log
> CustomLog /var/log/apache/attacks.log combined env=worm
> # Oppure cestiniamo
> CustomLog /dev/null env=worm
> 
> Ciao

Stavo rileggendo la ml, e ne approfitto per un chiarimento:

la prima soluzione con mod_secuirity non può essere implementata
perchè apache risponde alle richieste prima che mod_secuirity le
processi.
Un modulo che può essere utile in questi casi è invece mod_rewrite,
con un entry tipo:

<IfModule mod_rewrite.c>
RedirectMatch permanent (.*)\/x90\/(.*)$ http://www.microsoft.com
</IfModule>

Nel secondo caso, usando il sistema di logging di apache, un'altra
soluzione per non "sporcare" i log può essere quella di modificare il
formato stesso con cui vengono registrati.
Infatti a queste richieste il server risponde in genere con il codice
di errore 414:

"SEARCH /\x90\x02±\... 
[snip]
...\x90\x90" 414 385

Per cui possiamo modificare così:

LogFormat "%h %l %u %t \"%!414r\" %>s %b" common_no414
CustomLog logs/access_log common_no414

In questo modo nel file di log troveremo solamente una riga del tipo
(questa è fresca fresca...):

82.54.134.54 - - [31/Dec/2004:14:41:29 +0100] "-" 414 385


E' tutto, ne approfitto anche per fare auguri sinceri di buon anno :)

Rev`



-- 
+++ ip 

Rev(e)rse your ideas, choose the liberty