木曜日
多くは書けない(汗)。
職場で Scalper Worm のチェックしてて、 捕捉できたのでちょいと検索かけてみたらオリジナルの配布元なのかどうか知らないけどソース付き解説サイトに行ってしまった(^^;)。 そか、感染して閲覧に利用される時if (rand()%2) { User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686) } else { User-Agent: Lynx/2.8.4rel.1 libwww-FM/2.14 }ってな偽装するのね…(?)。金曜日
CodeRed I のログ
がSetEnvIfRequest_URI "default\.ida" worm CustomLog /usr/local/apache/logs/worm_log combined env=wormで分離できないと相談を受ける。
確かに出来ませんな。 <VirtualHost> を使う方法もあるようだけどSetEnvIf Host ".*" allowhost CustomLog /usr/local/apache/logs/worm2_log combined env=!allowhostとでもしないと仕方が無いのかなぁ。
これで多分"GET / HTTP/1.1" 400 307 "-" "-" "POST / HTTP/1.1" 400 215 "-" "-"なログを出す Scalper も捕捉できると思うんだけど…。 CodeRed I と Scalper の訪問待ち。