昨日、アクセスカウンタではカウントされているのにanalogのアクセス解析ではレポートされていない日がある、という障害に気付いた。
該当するのは今月20〜26日頃でネットワーク障害の記憶は無いし、生ログもしっかり残っている。きっとワームによる異常なログが悪さしているに違いないと目星を付けてログをチェックしたところ、
210.6.48.149 - - [24/Sep/2004:16:53:56 +0900] "SEARCH /\x90\x02\xb1…中略…\x90" 414 271とこれだけで32KBもある行が目に付いた。何気にgrepしてみると直近の1ヶ月で450件の形跡があったので、そいつをsedで
sed -e 's!^\(.*"SEARCH /\\x90\\x02\)\(.*\)\(".*$\)!\1...\3!' /var/log/httpd/access_logてな具合にバッサリ圧縮して取り敢えずOK。
ネットで調べてみたところWebDavの脆弱性を突いたワームGaobotの仕業である事がわかったが、ご多分に漏れずWindowsのIISを狙ったものでLinux/apacheには影響無かったのだけれど、analog解析という思わぬところで影響するとは…
今後はステータス414(Request-URI Too Large)はロギングしないようにhttpd.confを修正して終了。
【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗4カ月連続で「Gaobot」が1位に〜シマンテック、7月度のウイルス 2004年8月10日