Windows 蠕虫虽然不能对 Apache 搞什么破坏,但是对流量还是有些影响,您可以用下面的脚本来定时执行,阻止蠕虫。
#!/bin/sh
#
# 阻挡 Nimda 的攻击
# Apache 必须设置为 HostnameLookups Off
LOGS=/var/log/httpd
cd $LOGS
grep '^[0-9]*\.[0-9]*\.[0-9]*\.[0-9]* ' * 2>/dev/null |
awk '/system32\/cmd\.exe/ {sub(/[^:]*:/,"");print $1}' |
sort -u |
while read host
do
if ! fgrep $host /var/tmp/blocked >/dev/null
then
echo $host >>/var/tmp/blocked
/sbin/ipchains -I input -s $host -j DENY -l
fi
done
对以上程序的注释:读入日志文件目录下的匹配以 IP 地址开头的行,如果包含
system32\cmd.exe ,那么排序这些 IP 地址, 写入 /var/tmp/blocked,
然后用 ipchains 阻挡来自这些 IP 的访问。