cNotes 検索 一覧 カテゴリ

Apache Killer (CVE-2011-3192)

Published: 2011/08/28

先週から話題になっているApache Killer。

リモートからRange指定を含むリクエストを大量に送ることで、ターゲットのメモリとCPUを消費させるというものでバージョン1.3系および2系のすべてが対象。「Range header DoS」というのですか。

かなり強力な効果があります。。。。。

しかも、攻撃コードが複数でまわっているせいか、このニュースが流れた後、25日夜〜26日夜にかけて大量の攻撃が観測されました。

たとえば。

 T 2011/08/26 15:12:42.000000 x.x.x.x:45302 -> x.x.x.x:10080 [A]
     HEAD /xxxxxx.jpg HTTP/1.1..Host: xxx.xxx.xxx..Range:by
 :
 :
 T 2011/08/26 17:26:09.000000 x.x.x.x:63163 -> x.x.x.x:8080 [A] 
     HEAD / HTTP/1.1..Host: xxx.xxx.xxx..Range:bytes
 :
 :
 T 2011/08/26 17:33:09.000000 x.x.x.x:50198 -> x.x.x.x:80 [A] 
     HEAD / HTTP/1.1..Host: x.x.x.x..Range:bytes=0-,5-0,5-1,5
 :
 :

ここでは27日朝から観測されなくなってます。

はっきりと攻撃元のログが残ってしまうので、むやみに撃つのはやめたほうがいいかなと思います。botに組み込まれて勝手に撃たれているわけでもないと思いますしね。

apacheのaccess_logに

 x.x.x.x - - [26/Aug/2011:21:05:05 +0900] "HEAD /XXX/xxx.html HT
 TP/1.1" 206 - "-" "Apache httpd Partial Content bug exploit"

こんなログが残っていたら要注意(UAはツールのもの)。というか、このログが出る状況だったらログ確認以前にサーバーが固まっているだろうぐらい影響大です。。。

パッチはまだかな?でも各種ワークアラウンドがありますので至急対策を。

[カテゴリ:DDoS観察日記]

by jyake