[LUG.ro] Microsoft-WebDAV-MiniRedir en logs Apache

Ulises Cuñé lugro@lugro.org.ar
Thu, 21 Jun 2007 21:35:44 -0300 

A mi me pasa lo mismo.
La solucion que le di fue usar un WAF (Web Application Firewall) en este caso el
mod_security (http://www.modsecurity.org/), tambien puedes usar un HIDS como el OSSEC
(http://www.ossec.net/)
 
Para el caso del mod_security, una vez instalado y configurado usa esta regla.

SecFilterSelective HTTP_USER_AGENT "Microsoft-WebDAV-MiniRedir/5\.1\.2600"
log,exec:/usr/bin/blacklist-webclient


El programa blacklist-webclient esta en el paquete apache_tools-snapshot.tar.gz (
http://www.apachesecurity.net/tools/ )
Lo que hace junto a otro script en perl es bloquear la ip tomandala de la variable de
entorno ( REMOTE_ADDR ) por 36000 seg. Este tiempo lo ajusta en el archivo
blacklist-webclient.c en la variable 
#define DURATION 3600 

Esta muy bueno el mod_security si quieres algo liviano y q t proteja los sitios alojados
en tu server, porque ademas con algunas reglas mas te protejes contra ataques de sql
injection, XSS y spam.

Puedes bajar muchas reglas ya armadas desde: http://www.gotroot.com/

Saludos


--
Ulises U. Cuñé
Web: http://www.ulises2k.com.ar
-----Original Message-----
From: lugro-admin@lugro.org.ar [mailto:lugro-admin@lugro.org.ar] On Behalf Of Sebastian
Dominguez
Sent: Tuesday, June 19, 2007 8:19 PM
To: lugro@lugro.org.ar
Subject: [LUG.ro] Microsoft-WebDAV-MiniRedir en logs Apache

Hola lista. Ya hace un tiempo tengo en el access.log de apache
muchisimas entradas del tipo: 
190.30.90.140 - - [19/Jun/2007:20:13:21 -0300] "OPTIONS /Web/ HTTP/1.1"
302 13484 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
190.30.90.140 - - [19/Jun/2007:20:13:36 -0300] "OPTIONS / HTTP/1.1" 302
- "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

Me genera trafico excesivo de salida y consumo ed procesador.

Alguien tiene idea que es? o como bloquearlo? 

Por ip no tiene sentido porque camvia cada tanto. Estube (y estoy)
buscando la forma de bloquear ese motor de navegacion, epro no consigo
la sintaxis correcta. 

Desde ya, gracias.


_______________________________________________
Lugro mailing list
Lugro@lugro.org.ar
http://www.lugro.org.ar/mailman/listinfo/lugro