Temat: Apache, request failed: URI too long (longer than 8190)

witam,
czy znacie sposób na pozbycie się tego ataku na Apache?
Serwery stoją na Apache2 pod Debianem 5.0.5 (z wszystkimi aktualnymi łatkami)

W default-error.log mamy:
-------------
[Wed Aug 18 08:44:09 2010] [error] [client 83.23.156.89] request failed: URI too long (longer than 8190)
[Wed Aug 18 08:44:09 2010] [error] [client 83.23.153.247] request failed: URI too long (longer than 8190)

W default-access.log mamy:
-------------
85.193.218.67 - - [15/Aug/2010:06:25:59 +0200] "GET /logerror.asp?VER=5&BS=203456372&Txt=<ok 8 tys znaków>" 414 250 "-" "-"
85.193.218.67 - - [15/Aug/2010:06:26:29 +0200] "GET /logerror.asp?VER=5&BS=203456372&Txt=<ok 8 tys znaków>" 414 250 "-" "-"

Stan ten ma miejsce od ok 6 miesięcy, atak idzie zarówno z Azji jak i z Europy, cięcie po iptables nie wchodzi w rachubę bo mamy klientów zlokalizowanych na całym świecie. Jeśli nie da się tego pozbyć to może chociaż jak wyłączyć logowanie tego shitu przez Apache bo zawala nam logi.

Temat: Apache, request failed: URI too long (longer than 8190)

Fail2ban odpowiednio skonfigurowany powinien sobie poradzić.

Temat: Apache, request failed: URI too long (longer than 8190)

Mod_security jest? Reguły dla mod_security wrzucone aktualne?

Tworzymy plik konfiguracyjny:
touch /etc/apache2/conf.d/mod-security2.conf
o zawartości:
Include /etc/apache2/mod_security/*.conf
Tworzymy katalog, w którym będą przechowywane reguły filtrów:
mkdir /etc/apache2/mod_security

Oryginalne reguły są tu: http://sourceforge.net/projects/mod-security/files/mod...
Bogatszy zestaw daje GotRoot. Co prawda za friko nie dostaniesz bieżących wersji, a minimum 30 dni i starsze wersje ale to i tak dużo na większość typowych ataków.
http://www.gotroot.com/mod_security+rules

Wspominam o mod_security bo bardzo ładnie przechwytuje wszystkie zapytania GET, POST itd. i analizuje je zgodnie z posiadanym zestawem reguł.