|
| PORTAIL | ANNUAIRE | ARTICLES | COMPARATEUR HÉBERGEURS | DEVIS | FORUMS | RÉDUCTEUR D'URL |
|
|
|
|
||||||
| fr.comp.info.serveurs Administration de serveurs WWW. |
 |
|
|
LinkBack | Outils de la discussion |
10/10/2005, 19h01
|
#1 |
Messages: n/a
Hébergeur: |
[apache] mod_security-1.8.7 trop bavard..
Bonjour,
sur les trois serveurs apache dont je m'occupe, mod_security me pond entre 2 et 6Mb de logs tout les jours (pire encore les week-ends) à cause d'une crasse qui tente d'exploiter une faille dans l'authentification (d'IIS?). Est-il possible de ne pas logger _uniquement_ cette attaque? Pour l'instant je nettoie mes logs à coup de grep et de crontab, car baisser les paramètres qui ajustent la "verbosité" influent sur tout. Merci d'avance, MaXX Question subsidiaire: c'est quel virus/vers? UNIQUE_ID: Q0qjscCoAgEAAAJSCVo Request: w.x.y.z - - [10/Oct/2005:19:24:01 +0200] "GET / HTTP/1.0" 406 310 Handler: (null) ---------------------------------------- GET / HTTP/1.0 Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqBQUFBQUF[...snip environ 1700b de ce genre de crasses...]RERERERERERERERERERERERERERERE== Host: w.x.y.z mod_security-message: Access denied with code 406. Pattern match "^$" at HEADER. mod_security-action: 406 HTTP/1.0 406 Not Acceptable Connection: close Content-Type: text/html; charset=iso-8859-1 |
|
|
11/10/2005, 12h12
|
#2 |
|
Messages: n/a
Hébergeur: |
Re: [apache] mod_security-1.8.7 trop bavard..
Le Mon, 10 Oct 2005 20:01:02 +0200, MaXX a écrit :
> Est-il possible de ne pas logger _uniquement_ cette attaque? Pour l'instant Pour la directive SecFilter concernée, ajouter nolog comme deuxième paramètre. -- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news> |
|
|
|
12/10/2005, 21h41
|
#3 |
|
Messages: n/a
Hébergeur: |
Re: [apache] mod_security-1.8.7 trop bavard..
Patrick Mevzek wrote:
> Le Mon, 10 Oct 2005 20:01:02 +0200, MaXX a écrit : >> Est-il possible de ne pas logger _uniquement_ cette attaque? Pour >> l'instant > Pour la directive SecFilter concernée, ajouter nolog comme deuxième > paramètre. C'est ce que j'ai fini par faire, mais celà exclu toutes les autres combinaison qui peuvent faire déclencher le filtre. J'aurais aimé un 'nologif' ou qqch du genre... Je vais suggérer ça à l'auteur, qui sait, je ne suis peut être pas le seul à desirer cette fonction. Ca me semble interessant pour détecter les "nouveautés" dans le bruit de fond universel. Merci en tout cas, -- MaXX |
|
|
|
13/10/2005, 00h07
|
#4 |
|
Messages: n/a
Hébergeur: |
Re: [apache] mod_security-1.8.7 trop bavard..
Le Wed, 12 Oct 2005 20:41:32 +0000, MaXX a écrit :
>> Pour la directive SecFilter concernée, ajouter nolog comme deuxième >> paramètre. > C'est ce que j'ai fini par faire, mais celà exclu toutes les autres > combinaison qui peuvent faire déclencher le filtre. Découpez votre filtre en plusieurs filtres et mettez le nolog que dans le filtre concerné. -- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news> |
|
|
|
13/10/2005, 17h10
|
#5 |
|
Messages: n/a
Hébergeur: |
Re: [apache] mod_security-1.8.7 trop bavard..
Patrick Mevzek wrote:
[...] > Découpez votre filtre en plusieurs filtres et mettez le nolog que dans le > filtre concerné. je vais en réécrire un vu que le filtre qui déclenche est très général.. Merci beaucoup, pourquoi n'y avais-je pas pensé? -- MaXX |
|
|
|
| Outils de la discussion | |
|
|
