Le mar 25/05/2004 � 09:16, bobby debian a �crit :
> Bonjour.
Salut,

> 
> Depuis quelque temps maintenant , mes logs d'apache sont remplis par
> les attaques concernant la faille exploit�es par le vers Sasser; bien
> s�r cela ne nous concerne pas directement; par contre, webalizer
> n'aime pas du tout ces log, ce qui fait que les pages g�n�r�es par lui
> sont fausses.
> 
> Pour rappel, les log incrimin�s sont de la forme:
> 
> \x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
> x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x
> b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
t sur que �a vient de Sasser ? Parce que Sasser "n'attaque" pas sur le
port 80 ni . Je pencherais plut�t pour une exploitation d'une faille de
IIS ou Apache... bref, j'ai le m�me genre de requ�tes...

[...]
> Ma question est la suivante: comment peut-on faire pour virer ces logs
> (je le fais � la main pour l'instant) de
> mani�re automatique de telle fa�on que mon webalizer s'y retrouve �
> nouveau?
j'imagine que tu lances webalizer par un cron toutes les x heures, tu
peux peut-�tre avant de faire �a filtrer tes logs avec un bon vieux grep
du genre: cat /var/log/apache/access.log | grep -v '\x02\xb1' >
/tmp/access.log puis lancer webalizer sur le nouveau log.
Bon c'est peut �tre pas tr�s �l�gant et �a peut prendre un peu de temps
si tu as beaucoup de log, mais �a devrait marcher...

> 
> 
> Merci pour toutes suggestions.
> 
> S.
-- 
Damien POBEL
http://zeimg.free.fr http://dpobel.free.fr

Répondre à