LINUX.ORG.RU
ФорумAdmin

В логах апача следы Code_Red... и не только...


0

0 

В общем достали меня.... Ничего страшного (пока) конечно, но хочется просто как-то фильтровать запросы клиентов к моему www-серверу, и подходящие под шаблон просто не пропускать.
Но фильтры хочется задавать вручную. Пока в логах только вот такие строки:

Эти обе строки рассчитаны на M$ IIS, но стоит естественно апач, поэтому в логах только мусор.
195.101.231.156 - - [11/Sep/2003:03:26:53 +0700] "GET /scripts/nsiislog.dll" 404 - "-" "-"
217.133.170.47 - - [11/Sep/2003:01:44:47 +0700] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9
090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u909
0%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 205 "-" "-"

Особенно хочется избавиться от нижеследующей строчки, по которой апач вываливает полную информацию о себе и подключённых модулях, хотя в httpd.conf стоит ServerSignature Off

217.29.92.137 - - [08/Sep/2003:15:16:54 +0700] "CONNECT maila.microsoft.com:25 / HTTP/1.0" 400 299 "-" "-"

Кто нибудь пробовал что нибудь подобное делать? Если бы перед www стаяла циска, там бы можно было фильтр задать, а как вот сделать на самом www?

www-сервер ещё и гейт, прокся, майл-сервер, фтп-сервер... система ASPLinux 7.1

apache/manual/mod_rewrite

Rost ★★★★★
()

извини конечно, что примеров не написал
просто я сам в регулярных выражениях хреново разбираюсь :)

Rost ★★★★★
()

> ServerSignature Off
Это конечно лекарство, но не от того, о чем вы думаете. Эта вещь отключает вывод версии web-сервера, по-моему когда работает модуль auto_index, в общем тогда, когда приходит URL, который ссылается на каталог, а в этом каталоге нет index-ных файлов (index.html, index.php,...) и apache формирует страничку-листинг каталога.
А для отключения того, что вы хотите, я подозреваю, надо лазить в исходниках.

spirit ★★★★★
() 

Вот ответ сервера, который я наблюдаю в консоли:

[pas@pas SCAN] telnet xxx.org.xxx.net 80
Trying xxx.29.xxx.69...
Connected to xxx.org.xxx.net.
Escape character is '^]'.
CONNECT mail.ru:25 / HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Thu, 11 Sep 2003 08:03:56 GMT
Server: Apache/1.3.27 (Unix) (ASP/Linux) mod_ssl/2.8.12 OpenSSL/0.9.6 mod_perl/1.24_01
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Request</title>
</head><BODY>
<H1>Bad Request</h1>
Your browser sent a request that this server could not understand.<P>
The request line contained invalid characters following the protocol string.<P>
<P>
</body></html>
Connection closed by foreign host.

Вот эта строка меня и смущает:
Server: Apache/1.3.27 (Unix) (ASP/Linux) mod_ssl/2.8.12 OpenSSL/0.9.6 mod_perl/1.24_01

Если я поставил ServerSignature Off то почему в ответе сервера присутствует данная информация?

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
После добавления в httpd.conf строки:

. . .
ServerTokens Prod
. . .

И вот что в результате получаем. Это уже гораздо лучше.

[pas@pas SCAN] telnet xxx.org.xxx.net 80
Trying xxx.29.xxx.69...
Connected to xxx.org.xxx.net.
Escape character is '^]'.
CONNECT mail.ru:25 / HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Thu, 11 Sep 2003 08:03:56 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Request</title>
</head><BODY>
<H1>Bad Request</h1>
Your browser sent a request that this server could not understand.<P>
The request line contained invalid characters following the protocol string.<P>
<P>
</body></html>
Connection closed by foreign host.


Этого мне достаточно.

Xray_Linux_Root
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin