mod_security [Site info. and blog ]

先日 Nikto でスキャンされたりはしたものの、普段は当サイトに対してのあからさまな攻撃は確認されていない。HTTP と SMTP しかポートを空けていないから、対策はそれらに集中して実施すればよい。まぁ本格的に攻撃されればひとたまりもないかも知れないが、そこは気楽な自宅サーバなので、いざとなればサービスを停止してもよい。数少ないリピーターの皆さんにゴメンなさい、でとりあえずは済む。

それはさておき、SofTek Security TOPIC で紹介されていた Web Application Firewall (WAF) であるところの mod_security を導入してみた。

インストールは簡単。とりあえず ports で modsecurity-apache_2.0.0-rc-2.tar.gz を取得して DSO として組み込む。

# apxs -cia mod_security.c

そうすると httpd.conf 内の LoadModule 行まで追加されているから、上記サイトの例を参考に設定を追加すればよい。とりあえず、怪しいアクセスについての監視ログを残すようにしておいて、フィルタルールは追々記述して行こう。

監視ログには早速トラックバックスパムが引っかかっている。washington.edu と sage.edu の URL が残されているが、既に Not Found になっている。これはつまり一時期、spammer に乗っ取られていて、現時点では対策済なのだろう。トラックバックスパム自体は各所にばら撒かれた bot か何かで送信され続けているのか。

Posted by masato at 09:27 PM