Hello, Je termine la phase de test de notre nouveau webserver et je me rends compte que Webalizer a un bug assez g�nant: il ne parvient pas � g�n�rer de log si le fichier access_log d'Apache2 contient une entr�e pour une tentative de DoS de type POST contre IIS (j'ai plus la ref. exacte du CERT, mais qui se fait logger dans ma DB snort de toute fa�on...): Si le log contient le string "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x...", il ne g�n�re pas le log courant et retourne l'erreur "Error: Skipping oversized log record" pour chaque string. J'ai "bricol�" (mon 2e prenom c'est McGuyver ;-) ) un script comme ceci pour les logs des deux vhosts h�berg�s:
#!/bin/bash /usr/bin/grep -v "x02" /var/log/apache2/access_log >/var/log/apache2/access_log.clean /usr/bin/grep -v "x02" /var/log/apache2/access_log-ssl >/var/log/apache2/access_log-ssl.clean /bin/mv /var/log/apache2/access_log.clean /var/log/apache2/access_log /bin/mv /var/log/apache2/access_log-ssl.clean /var/log/apache2/access_log-ssl /usr/bin/webalizer -c /etc/webalizer.conf-regular /usr/bin/webalizer -c /etc/webalizer.conf-ssl C'est pas tr�s clean puisque ca ne g�re QUE ce DoS. Savez-vous si un patch existe pour webalizer ou bien s'il y a une alternative plus "clean" (Ajouter dynamiquement une rule IPtables -reject sur l'IP de l'intruder est exclue dans ce cas-ci)? Tchus _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[email protected] IRC: chat.unixtech.be:6667 - #unixtech
