[bugfree]님이 남기신 글:

>xxx.255.203.121 - - [03/Sep/2004:09:39:15 +0900] "GET
/</frame>\t\t\t\t</frameset>\t\t\t</frameset>\t\t\t<frame HTTP/1.0"
400 299 "-"
> "-"
>xxx.255.203.121 - - [03/Sep/2004:09:40:28 +0900] "GET
/</frame>\t\t<noframes><body HTTP/1.0" 400 299 "-"
"-"
>xxx.255.203.121 - - [03/Sep/2004:09:40:44 +0900] "GET
/</frame>\t\t\t\t</frameset>\t\t\t</frameset>\t\t\t<frame HTTP/1.0"
400 299 "-"
> "-"
>xxx.255.203.121 - - [03/Sep/2004:09:41:01 +0900] "GET
/</frame>\t\t\t\t\t<frame HTTP/1.0" 400 299 "-"
"-"
>xxx.255.203.121 - - [03/Sep/2004:09:46:36 +0900] "GET
/</frame>\t\t\t\t\t<frame HTTP/1.0" 400 299 "-"
"-"
>
>
>위 로그처럼 "-" "-" 로만 나옵니다...ㅠ.ㅠ

>
>[산이]님이 남기신 글:
>
>>
>>[bugfree]님이 남기신 글:
>>
>>>-----------------------------------------
>>>답변자가 기본적으로 참고할 내용입니다.
>>>- 배포판(옵션)    : redhat 7.2
>>>- 커널버전(옵션)
  : 2.4.26
>>>- 데몬버전(예:apache
 1.3.27) : apache 1.3.31
>>>- 데몬설치유형(RPM/컴파일/기타)
 : apache소스rpm, php소스컴파일
>>>-----------------------------------------
>>>
>>>
>>>최근들어 아파치 에러로그에 아래와 같은 유형의 로그들이
많이 나타납니다.
>>>여러곳에서 무작위로 오는거 같은데..
>>>어떤 형식의 공격인지.. 자동화된 툴이 있는거 같은데
아시는분 답변좀 부탁합니다.
>>>
>>>[Thu Sep  2 15:18:24 2004] [error] [client 211.111.81.xxx] request failed:
erro
>>>neous characters after protocol string: GET /</frame>\\t\\t\\t\\t\\t<frame
HTTP
>>>/1.0
>>>[Thu Sep  2 15:18:24 2004] [error] [client 211.111.81.xxx] request failed:
erro
>>>neous characters after protocol string: GET
/</frame>\\t\\t\\t\\t</frameset>\\t
>>>\\t\\t</frameset>\\t\\t\\t<frame HTTP/1.0 
>>
>>========================================
>>
>>아파치 로그포맷에 User-Agent 값을 넣어주고
>>어떤 브라우저인지 알아보세요.
>>
>>만약 MSIE 라면 웹코딩이 잘못되어 있을 수 있으니
>>해당 에러시각을 기준으로 앞뒤의 페이지를 찾아보세요.

>
>======================================== 

========================================

위의 에러페이지에 대한 통계(client ip)를 내어 보세요.

통계의 결과가 특정 IP 몇개에만 이런 현상(로그)이 있다면
거의 90% 공격이고
IP 주소가 다양하게 분포되어 있다면
웹코딩이 잘못된것입니다.



LogFormat "%h %l %u %t [%{Host}i] \"%!413,414r\" %>s %b
\"%f\" \"%{Referer}i\" \"%{User-Agent}i\" (%T)"
debug

CustomLog /var/log/httpd-debug-access.log debug

이런식으로 설정해서 통계를 내어 보세요.