| [Question] Mod_Security |
20/04/2010 23:16:06 (+0700) | #1 | 209446 |
pqthai
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Mình đang chạy HomeServer (OS: Windows Server 2003 - cài AppServ (PHP + Apache).
Hiện tại vì lý do cẩn trọng tốt hơn nên mình muốn cài mod_security. Tìm trên mạng hướng dẫn rule thì toàn ra mod_security ver 1.9 trong khi các link download khi vào toàn là ver 2.0 trở lên 
Ai có bản mod_security 1.9 có thể cho mình xin cái link download được không  |
|
|
 |
|
| [Question] Mod_Security |
21/04/2010 06:44:59 (+0700) | #2 | 209455 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
pqthai wrote:
Mình đang chạy HomeServer (OS: Windows Server 2003 - cài AppServ (PHP + Apache).
Hiện tại vì lý do cẩn trọng tốt hơn nên mình muốn cài mod_security. Tìm trên mạng hướng dẫn rule thì toàn ra mod_security ver 1.9 trong khi các link download khi vào toàn là ver 2.0 trở lên
Ai có bản mod_security 1.9 có thể cho mình xin cái link download được không
Đừng dùng mod_security 1.9 vì nó không còn được hỗ trợ và bảo trì nữa. Tất cả những lỗi được phát hiện với nhánh 1.9 sẽ không được fix và đây là điều nguy hiểm. Tuy nhiên, muốn download bản 1.9 thì bồ có thể vô đây:
http://sourceforge.net/projects/mod-security/files/modsecurity-apache/
mã nguồn của 1.9.4 và 1.9.5 vẫn còn đó.
Tớ đề nghị bồ nên dùng phiên bản 2.x bởi vì nó cập nhật và có những tính năng mà 1.9 không có. Hơn nữa, không nên vì không có "luật soạn sẵn" cho 2.x (hoặc tìm không ra) nên quyết định dùng 1.9. Đây là quyết định không hợp lý.
Hình thành một nhóm rules cho mod_security hay bất cứ thứ gì, nếu muốn bảo mật bồ phải thật sự hiểu rõ nó. Đừng dùng rules đã soạn sẵn mà không hiểu gì thì rất nguy. Bản 2.x có luôn bộ luật kèm theo và bồ có thể dùng chúng để bảo vệ web server của mình từ những dạng tấn công phổ biến. Tuy nhiên, để thật sự bảo mật theo đúng nhu cầu của mình và đúng theo chương trình php mình đang dùng, bồ nên nắm vững mod_security. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mod_Security |
21/04/2010 09:41:53 (+0700) | #3 | 209467 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Thanks conmale
Phần Mod_security 2.x thì mình xem lại vậy. Bản 1.9.5 mình dùng tạm thời trong thời gian tìm hiểu ver 2.x  |
|
|
|
|
| [Question] Mod_Security |
21/04/2010 11:55:28 (+0700) | #4 | 209477 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Ah cho mình hỏi thêm cái này.
Không rõ nguyên nhân do đâu mà log Apache liên tục ghi lại các request từ 1 số dãy IP, do liên tục nên làm crash cả Apache. Hiện tại mình dùng firewall khoá luôn các IP này. Kiểm tra 1 dãy IP thì ra trang http://server.privacyfoundation.de/index_en.html - trong đó có luôn cả danh sách các IP liên tục làm cho Apache webserver mình đơ thẳng cẳng. |
|
|
|
|
| [Question] Mod_Security |
21/04/2010 12:04:27 (+0700) | #5 | 209478 |
![[Avatar]](/hvaonline/images/avatar/8473446b734702b73ac2972b7bbf7bf7.jpg "[Avatar]")
|
Phó Hồng Tuyết
Member
|
|
0 |
|
|
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
|
|
pqthai wrote:
Ah cho mình hỏi thêm cái này.
Không rõ nguyên nhân do đâu mà log Apache liên tục ghi lại các request từ 1 số dãy IP, do liên tục nên làm crash cả Apache. Hiện tại mình dùng firewall khoá luôn các IP này. Kiểm tra 1 dãy IP thì ra trang http://server.privacyfoundation.de/index_en.html - trong đó có luôn cả danh sách các IP liên tục làm cho Apache webserver mình đơ thẳng cẳng.
bạn post một đoạn log lên đây. |
|
| "Một người thành công không có ý nghĩ đổ thừa thất bại do ...." |
|
|
|
| [Question] Mod_Security |
21/04/2010 12:17:15 (+0700) | #6 | 209481 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13097
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
Đoạn log mới do tắt Apache + xoá nên mình không có gì để post ^^ Nhưng log cũ vẫn của nó. |
|
|
|
|
| [Question] Mod_Security |
21/04/2010 12:55:33 (+0700) | #7 | 209485 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
pqthai wrote:
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13097
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
87.118.101.175 - - [07/Apr/2010:17:09:42 +0700] "POST /dangki.php HTTP/1.1" 200 13099
Đoạn log mới do tắt Apache + xoá nên mình không có gì để post ^^ Nhưng log cũ vẫn của nó.
Nếu dùng mod_security 2.x thì đỡ cái này dễ dàng. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mod_Security |
21/04/2010 14:39:14 (+0700) | #8 | 209494 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Nếu conmale không phiền có thể giúp mình phần đó trên mod_security 2.x được không
|
|
|
|
|
| [Question] Mod_Security |
21/04/2010 14:41:42 (+0700) | #9 | 209495 |
|
Phó Hồng Tuyết
Member
|
|
0 |
|
|
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
|
|
| Tốt nhất bạn nên đọc kỹ doc modsecurity rồi tự sử đi. Rules này khá dễ bồ thử tự viết xem. nếu không chạy post cái rules lên đây anh/em trong diễn đàn sẽ giúp bạn. |
|
| "Một người thành công không có ý nghĩ đổ thừa thất bại do ...." |
|
|
|
| [Question] Mod_Security |
21/04/2010 15:02:24 (+0700) | #10 | 209498 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Uh để mình ngâm cứu vậy.
Tập tành làm web gặp mấy vụ này cũng hơi khó khăn lúng túng ^^ |
|
|
|
|
| [Question] Mod_Security |
21/04/2010 16:56:29 (+0700) | #11 | 209505 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
pqthai wrote:
Nếu conmale không phiền có thể giúp mình phần đó trên mod_security 2.x được không :D
Đây, một đoạn để bồ nghiền ngẫm:
Code:
SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "/dangki\.php" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
SecRule IP:DDOS "@gt 7" "phase:1,log,msg:'DDoS from %{REMOTE_ADDR}',exec:/path/to/a/script/blocker.sh"
SecRule IP:DDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"
PS: đừng có mang đoạn rule ở trên để áp dụng mà không hiểu nó làm gì nhá? Thử chịu khó tìm hiểu từ phần nhỏ trong đoạn rule trên xem mỗi phần có tác dụng gì. Đây mới là thu gặt quan trọng. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mod_Security |
21/04/2010 21:13:56 (+0700) | #12 | 209528 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
|
|
| [Question] Mod_Security |
24/04/2010 14:59:04 (+0700) | #13 | 209697 |
rongdennt
Member
|
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
Code:
1 SecAction initcol:ip=%{REMOTE_ADDR},nolog
2 SecRule REQUEST_URI "/dangki\.php" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
3 SecRule IP:DDOS "@gt 7" "phase:1,log,msg:'DDoS from %{REMOTE_ADDR}',exec:/path/to/a/script/blocker.sh"
4 SecRule IP:DDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"
Đoạn này em đọc cũng hiểu 1 phần.
Cho em hỏi cái @gt7 và @gt5 có ý nghĩa gì? Trong dòng 3, em nghĩ hành động của nó là thực thi file /path/to/a/script/blocker.sh khi gặp gói tin có IP mà mod_sercurity phân tích và match với line 1 và 2. Như vậy là mình phải viết 1 script blocker.sh ?
Nhờ mọi người chỉ giáo |
|
| Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
| [Question] Mod_Security |
26/04/2010 08:17:49 (+0700) | #14 | 209787 |
rongdennt
Member
|
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
| nhờ mọi người chỉ giúp mình với, chờ trả lời .... |
|
| Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
| [Question] Mod_Security |
26/04/2010 14:59:27 (+0700) | #15 | 209819 |
pqthai
Member
|
|
0 |
|
|
Joined: 09/05/2008 20:36:23
Messages: 12
Location: VN - HCM City
Offline
|
|
Cũng đang bí phần đó.
Đang tham khảo ở trang http://www.modsecurity.org/documentation/modsecurity-apache/2.1.5/modsecurity2-apache-reference.html.
Tiếng Anh hơi tệ nên cũng khó khăn. |
|
|
|
|
| [Question] Mod_Security |
04/05/2010 21:36:19 (+0700) | #16 | 210308 |
rongdennt
Member
|
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
Server mình cũng đang có hiện tượng bị DoS
Log như sau:
Code:
118.69.64.141 - - [04/May/2010:22:29:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:41 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:46 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:51 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:41 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:46 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:51 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
Mình đã limit ở iptables nên cứ 5 giây là có 1 chú lọt vào. Tuy không gây ảnh hưởng lớn gì nhưng mình cảm thấy rất khó chịu nên đã cài đặt mod_security. Mình dùng rule cho mod security như sau:
Code:
SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "/index\.php" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=2/60,expirevar:ip.ddos=600"
SecRule IPDOS "@gt 2" "phase:1,log,drop,msg:'DoS'"
SecAuditLog logs/audit.log
Nhờ mọi người giúp đỡ hoàn thiện đoạn rule trong tình hưống này. Chân thành cảm ơn |
|
| Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
| [Question] Mod_Security |
05/05/2010 08:22:11 (+0700) | #17 | 210333 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?
Và GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên? |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mod_Security |
05/05/2010 08:33:04 (+0700) | #18 | 210336 |
rongdennt
Member
|
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
conmale wrote:
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?
Và GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên?
Cái đầu tiên em lấy số lượng request đến index.php. Vì cái GET /?action=activation&key=48283ea3ec thực ra là nó lấy index.php?action=activation&key=48283ea3ec, key là một số ngẫu nhiên. Em nghĩ nó đều phải triệu gọi thông qua index.php nên mới áp dụng cho file index.php.
Không biết suy nghĩ em sai ở điểm nào? nhờ anh chỉ giúp |
|
| Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
| [Question] Mod_Security |
05/05/2010 09:11:23 (+0700) | #19 | 210345 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rongdennt wrote:
conmale wrote:
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?
Và GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên?
Cái đầu tiên em lấy số lượng request đến index.php. Vì cái GET /?action=activation&key=48283ea3ec thực ra là nó lấy index.php?action=activation&key=48283ea3ec, key là một số ngẫu nhiên. Em nghĩ nó đều phải triệu gọi thông qua index.php nên mới áp dụng cho file index.php.
Không biết suy nghĩ em sai ở điểm nào? nhờ anh chỉ giúp
Đối với modsecurity, "/?action=activation&key=48283ea3ec" chính là URI. Trong khi đó, dòng luật SecRule REQUEST_URI "/index\.php" thì có URI được ấn định là "/index.php". Bởi vậy, modsecurity sẽ... lờ "/?action=activation&key=48283ea3ec" và không xử lý vì giá trị URI của hai cái hoàn toàn khác nhau.
Để cho luật trên có tác dụng, cần phải đổi thành:
SecRule REQUEST_URI "/\?action=activation"
(để ý có dấu \ nằm trước ? là vì ? là một reverse char của regular expression nên phải "escape" nó - nên nghiên cứu thêm regex thì mới có thể làm việc với mod_security được). |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mod_Security |
05/05/2010 09:19:23 (+0700) | #20 | 210346 |
rongdennt
Member
|
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
conmale wrote:
rongdennt wrote:
conmale wrote:
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?
Và GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên?
Cái đầu tiên em lấy số lượng request đến index.php. Vì cái GET /?action=activation&key=48283ea3ec thực ra là nó lấy index.php?action=activation&key=48283ea3ec, key là một số ngẫu nhiên. Em nghĩ nó đều phải triệu gọi thông qua index.php nên mới áp dụng cho file index.php.
Không biết suy nghĩ em sai ở điểm nào? nhờ anh chỉ giúp
Đối với modsecurity, "/?action=activation&key=48283ea3ec" chính là URI. Trong khi đó, dòng luật SecRule REQUEST_URI "/index\.php" thì có URI được ấn định là "/index.php". Bởi vậy, modsecurity sẽ... lờ "/?action=activation&key=48283ea3ec" và không xử lý vì giá trị URI của hai cái hoàn toàn khác nhau.
Để cho luật trên có tác dụng, cần phải đổi thành:
SecRule REQUEST_URI "/\?action=activation"
(để ý có dấu \ nằm trước ? là vì ? là một reverse char của regular expression nên phải "escape" nó - nên nghiên cứu thêm regex thì mới có thể làm việc với mod_security được).
Cảm ơn anh, e có tìm hiểu regex nên có hiểu đoạn anh nói. Em sẽ thử nghiệm với trường hợp của em để tính toán lại thông số cho thích hợp |
|
| Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
| [Question] Mod_Security |
06/12/2010 16:16:18 (+0700) | #21 | 226486 |
![[Avatar]](/hvaonline/images/avatar/3f44f3018ff71ff4a7d22a98f3babb55.png "[Avatar]")
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
rongdennt wrote:
1 SecAction initcol:ip=%{REMOTE_ADDR},nolog
2 SecRule REQUEST_URI "/dangki\.php" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
3 SecRule IP:DDOS "@gt 7" "phase:1,log,msg:'DDoS from %{REMOTE_ADDR}',exec:/path/to/a/script/blocker.sh"
4 SecRule IP:DDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"
Đoạn này em đọc cũng hiểu 1 phần.
Cho em hỏi cái @gt7 và @gt5 có ý nghĩa gì? Trong dòng 3, em nghĩ hành động của nó là thực thi file /path/to/a/script/blocker.sh khi gặp gói tin có IP mà mod_sercurity phân tích và match với line 1 và 2. Như vậy là mình phải viết 1 script blocker.sh ?
Nhờ mọi người chỉ giáo
Dòng 1: khởi tạo một persistent collection với tên là ip
Dòng 2: Tăng ip.ddos lên 1 khi có một request đến dangki.php, cứ 60s lại giảm con số này đi 5, và cuối cùng, collection variable này sẽ expire (reset về 0) sau 10 phút.
Dòng 3: Trong 1 phút, nếu giá trị trên (ip.ddos) lớn hơn 7 (greater than) thì log lại với thông báo "DDoS from..." đồng thời chạy script blocker.sh (nhét vào iptables chẳng hạn)
Dòng 4: Nếu giá trị trên lớn hơn 5 thì drop luôn với thông báo "DDoS". |
|
| Let's build on a great foundation! |
|
|
|
|
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")