Re: log apache + sasser + webalizer

[Damien POBEL <dpobel@kaliop.com>]

Le mar 25/05/2004 à 09:16, bobby debian a écrit :
> Bonjour.
Salut,

> 
> Depuis quelque temps maintenant , mes logs d'apache sont remplis par
> les attaques concernant la faille exploitées par le vers Sasser; bien
> sûr cela ne nous concerne pas directement; par contre, webalizer
> n'aime pas du tout ces log, ce qui fait que les pages générées par lui
> sont fausses.
> 
> Pour rappel, les log incriminés sont de la forme:
> 
> \x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
> x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x
> b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
t sur que ça vient de Sasser ? Parce que Sasser "n'attaque" pas sur le
port 80 ni . Je pencherais plutôt pour une exploitation d'une faille de
IIS ou Apache... bref, j'ai le même genre de requêtes...

[...]
> Ma question est la suivante: comment peut-on faire pour virer ces logs
> (je le fais à la main pour l'instant) de
> manière automatique de telle façon que mon webalizer s'y retrouve à
> nouveau?
j'imagine que tu lances webalizer par un cron toutes les x heures, tu
peux peut-être avant de faire ça filtrer tes logs avec un bon vieux grep
du genre: cat /var/log/apache/access.log | grep -v '\x02\xb1' >
/tmp/access.log puis lancer webalizer sur le nouveau log.
Bon c'est peut être pas très élégant et ça peut prendre un peu de temps
si tu as beaucoup de log, mais ça devrait marcher...

> 
> 
> Merci pour toutes suggestions.
> 
> S.
-- 
Damien POBEL
http://zeimg.free.fr http://dpobel.free.fr