最近は自分で自分のサイトのチェックをあまりしていなかったんだけど、過去記事を見てるとおかしなタイミングで攻撃に判定されてしまっていたようだ。
参考サイトへびにっき Mod_dosdetector の使い方
へびにっきさんのサイトを参考にちょっと修正してみる。dosdetectorのデフォ設定が以下
DoSDetection on
DoSPeriod 5
DoSThreshold 10
DoSHardThreshold 25
DoSBanPeriod 30
DoSTableSize 100
DoSIgnoreContentType image|javascript|cssDoSPeriodで判定する秒数を決める、上だと5秒間。
DoSThresholdがアクセスの閾値、下のDoSHardThresholdさらに激しい攻撃とみなす閾値になる。
DoSBanPeriodで指定した秒数が経つと解放になる。
TableSizeは最大でどれだけ対象にするか。
DoSIgnoreContentTypeは除外するものを設定。
ってことでデフォルトを見直すとこれを基準にして設定した方がよいなぁと。原因と思われるところだけど、閾値の設定ではなくて、DoSIgnoreContentTypeには除外する対象を正規表現で記述するのだけど、ここをミスっていたかもしれない。設定もデフォルトから多少ゆるい閾値にして、正規表現の見直しをして様子を見ることにした。
あとはへびにっきさんのサイトにある、Dosdetector用のログを残す記述もhttpd.confに追記して、それとついでにhttpd.confの設定も多少見直すことにした。
最後は最近覚えた
apachectl configtest Syntax OK apachectl restart
で完了。
自分で色々巡回してみると問題なく動いているようだ。やはりDoSIgnoreContentTypeだろなあ・・・内容は恥ずかしくて書けないwと思いつつも、管理が甘くなっていたのでちょっとだけ反省。
