Hello, Je termine la phase de test de notre nouveau webserver et je me rends compte que Webalizer a un bug assez génant: il ne parvient pas à générer de log si le fichier access_log d'Apache2 contient une entrée pour une tentative de DoS de type POST contre IIS (j'ai plus la ref. exacte du CERT, mais qui se fait logger dans ma DB snort de toute façon...): Si le log contient le string "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x...", il ne génère pas le log courant et retourne l'erreur "Error: Skipping oversized log record" pour chaque string. J'ai "bricolé" (mon 2e prenom c'est McGuyver ;-) ) un script comme ceci pour les logs des deux vhosts hébergés:
#!/bin/bash /usr/bin/grep -v "x02" /var/log/apache2/access_log >/var/log/apache2/access_log.clean /usr/bin/grep -v "x02" /var/log/apache2/access_log-ssl >/var/log/apache2/access_log-ssl.clean /bin/mv /var/log/apache2/access_log.clean /var/log/apache2/access_log /bin/mv /var/log/apache2/access_log-ssl.clean /var/log/apache2/access_log-ssl /usr/bin/webalizer -c /etc/webalizer.conf-regular /usr/bin/webalizer -c /etc/webalizer.conf-ssl C'est pas très clean puisque ca ne gère QUE ce DoS. Savez-vous si un patch existe pour webalizer ou bien s'il y a une alternative plus "clean" (Ajouter dynamiquement une rule IPtables -reject sur l'IP de l'intruder est exclue dans ce cas-ci)? Tchus _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: chat.unixtech.be:6667 - #unixtech
