Le mar 25/05/2004 à 09:16, bobby debian a écrit : > Bonjour. Salut, > > Depuis quelque temps maintenant , mes logs d'apache sont remplis par > les attaques concernant la faille exploitées par le vers Sasser; bien > sûr cela ne nous concerne pas directement; par contre, webalizer > n'aime pas du tout ces log, ce qui fait que les pages générées par lui > sont fausses. > > Pour rappel, les log incriminés sont de la forme: > > \x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\ > x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x > b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\ t sur que ça vient de Sasser ? Parce que Sasser "n'attaque" pas sur le port 80 ni . Je pencherais plutôt pour une exploitation d'une faille de IIS ou Apache... bref, j'ai le même genre de requêtes...
[...] > Ma question est la suivante: comment peut-on faire pour virer ces logs > (je le fais à la main pour l'instant) de > manière automatique de telle façon que mon webalizer s'y retrouve à > nouveau? j'imagine que tu lances webalizer par un cron toutes les x heures, tu peux peut-être avant de faire ça filtrer tes logs avec un bon vieux grep du genre: cat /var/log/apache/access.log | grep -v '\x02\xb1' > /tmp/access.log puis lancer webalizer sur le nouveau log. Bon c'est peut être pas très élégant et ça peut prendre un peu de temps si tu as beaucoup de log, mais ça devrait marcher... > > > Merci pour toutes suggestions. > > S. -- Damien POBEL http://zeimg.free.fr http://dpobel.free.fr
