土曜日に国分さんのプレゼンでも話題ででてきたLog Parser。手元のメモをメモしとく。
話が違いますが、ワタシも単にログ取りのためだけにmod_security使ったりしてます。
なリクエスト
ワームはHTTP 1.1なのにHostヘッダフィールドがなかったりする事が多いですね。そいえば、前に金床さんも似たような言っていたような気がするなぁ。
あと、Serverヘッダフィールドをチェックするワームも多いので、Serverヘッダを変えるのって、そういう意味ではいいのかもと思ってたり。
nsiislog.dllのスキャンは"GET /scripts/nsiislog.dll"という具合が多くて、ふと考えてみると、これはまたいい加減ですな。
ワタシ的にはJRの改札にまっすぐ向かって、他の人はどこいくのだろう?と思っていました(汗
ですねー、ウチではHostなしのHTTP/1.1リクエストは問答無用で切断ですよ!さあtelnet www.jumperz.net 80!!(w
早速つなげてみました(笑
と思ったらURLが / のときだけ切断してました(;´Д`)
ふと思ったのですが、金床さんのところみたいに / の場合は Location: でリダイレクトさせるのも、単調な攻撃に強くなりそうなのかもと思いました。
80番ポートでリダイレクト専門の簡易ウェブサーバー(もちろん簡易なので穴なし)を動かして、別のポートでApacheとかIIS、ってのは安全になるでしょうね。ただ、URlがhttp://www.jumperz.net:82/とかになるので、それがOKかどうかですが…
単純に、/ で 200 OK とならないステータスコードに意味があるかもという具合です。
傾向としてwormや単純HTTPスキャナはHTTPレスポンスヘッダの中の何か、
多くはserverヘッダフィールドやステータスコードを見るものが多いのでという具合だったりです。
そういえば以前、社内で別ポートで公開したwebサーバをアナウンスしたら、
組織毎で設置しているFWの都合で接続できなくて結局80/tcpでも公開というオチを経験したことが(^^;;;
私的には比較的 200 OK の応答がしやすいようにしてあるApacheを外に出しています(笑
なるほどー。
Serverヘッダ見るワームはすぐ帰ってくれるので好きですね(笑。
適当にやったぐらいでは、誰も怪しい事してくれないのが分かって、しょぼーんという感じです(^^;