ともちゃ日記(Tomo cha) - 元大学生のＯＬ日記-

TOP / Wiki / Diary / Profile / BBS / Mail

わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。また、この日記へのリンクは原則自由にして頂いても結構ですが、写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。

カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, 食, 生活, 遊び, Drive, TV, 仕事,

過去日記:

2003年02月15日(土) [晴れ]

＊ [Life] 生らぁめん

　お昼ご飯に生らぁめん(醤油)を作ってみた。調理は，鍋を二つ用意して，両方で湯を沸かす。そして，片方で麺を湯がくがもう片方ではオニオンスープの準備をする。なぜかというと私はonionが好きでラーメンに湯がいたタマネギを入れるのが好きだということと，湯がいただけでそのお湯を捨てるのがもったいないということからである。

[ コメントを読む(0) | コメントする ]

＊ [Server] Apacheにてはまる…。

　Windows2000Serverで一部のサービスの再起動を行おうとしたが，寝ぼけて間違えてApacheを選択して再起動してしまった。すると，confをちょこちょこと思い当たったように書き換えたりした部分があったため，エラーで起動してこない(^-^; 　ということで，Apacheの環境設定のやり直しおよびApache1.3.27+IPv6パッチを当てることに。私の所の環境では，Apache1.3.9 → 1.3.24 → 1.3.26 とアップデートを行ってきたために，1.3.9の記述方法やランタイムモジュールもかなり混じっているため，これを期に全部入れ直すことに。ということで，全部一から環境構築をしてみた。VirtualHostあたりの動きが微妙に1.3.26の記述と違うことと，サンプルconfをいじって書き換えたが，モジュール当たりの変更が多く，以前と同じ環境に戻すのが大変だった。
　それと，今回ついでにNimda，CordRed等のアタックと見られるログを個別に吐き出す設定や，サーバのバージョン等の環境情報を吐き出さないようにいじってみた。

★ ServerSignature の変更: httpd.confのServerSignatureの設定をOnからOffに変更して，エラーメッセージ出力時にフッタを表示しないようにする。

ServerSignature Off

★ ServerTokens の変更: httpd.confにServerTokensを追加することによって，ヘッダにApacheのバージョンやOSを表示しないようにする。

ServerTokens ProductOnly

上記を記述するとtelnetでApacheにアクセスしてみると以下のように出力されるようになる。

$ telnet tomo.sslan.com 80
Connected to tomo.sslan.com.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Sat, 15 Feb 2003 13:52:12 GMT
Server: Apache
Last-Modified: Fri, 14 Feb 2003 15:46:31 GMT
ETag: "0-2ff-3e4d0f57"
Accept-Ranges: bytes
Content-Length: 767
Connection: close
Content-Type: text/html

Connection closed by foreign host.

Server: の部分のApacheのバージョンおよびOSが表示されなくなる。
★ NimdaやCordRed等のアタックログを個別に吐き出す方法: やはり，統計を取りたいってことや，access.log自体に攻撃のログを残したくない(or 個別に取りたい)などが有ると思うが，それのやり方である。

SetEnvIf Request_URI "default\.ida" warnlog
SetEnvIf Request_URI "cmd\.exe" warnlog
SetEnvIf Request_URI "root\.exe" warnlog
SetEnvIf Request_URI "Admin\.dll" warnlog
SetEnvIf Request_URI "NULL\.printer" warnlog
SetEnvIf Request_URI "/iissamples/" warnlog
SetEnvIf Request_URI "/msads/" warnlog
SetEnvIf Request_URI "/scripts/" warnlog
SetEnvIf Request_URI "/_vti_bin/" warnlog
SetEnvIf Request_URI "/_vti_pvt/" warnlog
SetEnvIf Request_URI "/cfdocs/" warnlog
SetEnvIf Request_URI "/null.id?" warnlog
SetEnvIf Request_URI "/_vti_bin/" warnlog
CustomLog /var/log/httpd/nimda_cordred.log combined env=warnlog

上記の設定で， /var/log/httpd/nimda_cordred.log に個別にアタックログを取ることが出来る。また， access.log に上記の部分のログを残したくない場合は，以下のようにすると良い。

CustomLog /var/log/log/httpd/access.log combined env=!warnlog

★ インデックス表示で長いファイル名を表示する方法: 　ファイル名の文字列をすべてを表示させたい場合には，Apacheの設定ファイルhttpd.confを編集すればよい。 mod_autoindex の個所を探し以下の行を加える。

IndexOptions +NameWidth=*

設定サンプルでは以下のようになる。

<IfModule mod_autoindex.c>
    IndexOptions FancyIndexing
    IndexOptions +NameWidth=*
-- 略 --
</IfModule>

また，.htaccessに加えても使用できる。
★ 攻撃のログファイル: 今までに見たことのない攻撃ログも残っていたので晒してみる。こういうログを見たと言うことがある方があれば情報を下さい。 NimdaやCordRedだけでは納得のいかないログが残っています。

20030215b.txt36587byte Feb 15 15:48

# wakatono 『_vti_bin もげについては、確かFrontPage Extension まわりをいじいじしてるんじゃなかったけかな？あと、DefConとかのページに、ColdFusion関係のセキュリティホールは紹介されてた気が。一応、どれもgoogle様に聞けばわかる気がする。』
# SilverR 『典型的なcgiスキャナの挙動ですね。自動にしろ手動にしろ、とりあえず悪意があるアクセスであるのは間違いなさそうです。』
# ともちゃ 『いろいろ調べてみたのですが，"_vti_bin_" にかんして検索しても見つからなかったので，時間のあるときにでもしっかりと探してみます。 /cgi-bin/ 以下でデフォルトでありがちなパターンを総なめしてきているようなので悪質であることには間違いが無いようです。』
# SilverR 『それはFrontPageExtentionまわりですね。後、shtml.exeというのも出ているかと。後は適当にGoogleってください。』

[ コメントを読む(4) | コメントする ]

Diary for 1 day(s)