banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật referer lạ trong error_log của Apache  XML
  [Question]   referer lạ trong error_log của Apache 14/01/2012 09:21:31 (+0700) | #1 | 252438
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Gần đây, trong error_log của webserver (đứng sau 1 con Load Balancer - Citrix) mình thấy thi thoảng xuất hiện mấy cái này:
Code:
request failed: error reading the headers, referer: \xc0\xf1\x85 \xf2\x85
request failed: error reading the headers, referer: \xc0\xf1\x85 \xf2\x85
request failed: error reading the headers, referer: \xec0\xd5\x05\xa8m\x02\x06<7\x86\x06P)\x95\x06\x90)\x95\x06$\x80B\x06P

với tuần suất không đều: lúc 4-5s, lúc vài phút, ...

access_log cho thấy chúng có vẻ là những requests bình thường:
Code:
"-" - - [12/Jan/2012:18:03:54 +0700] "GET /URI HTTP/1.1" 400 296

nhưng bị trả về 400 vì bad referer.

Mình có sniff thử thì tóm được header như sau:
Code:
GET /URI HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Host: my.website
Accept: */*
Referer: ...
 ..
pF..
X-Forwarded-For: 113.171.53.222 

HTTP/1.1 400 Bad Request
Date: Thu, 12 Jan 2012 11:03:54 GMT
Server: Apache
Content-Length: 296
Connection: close
Content-Type: text/html; charset=iso-8859-1


Mình vẫn đang tự hỏi: nếu chủ định tấn công thì ý đồ ở đây là gì? Nếu không thì lỗi này do đâu mà có? Mọi người giúp mình với.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 16/01/2012 06:48:33 (+0700) | #2 | 252558
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Anh thấy,

- Thứ nhất GET /URI có vẻ vô giá trị vì chẳng có ai lại dùng URI là /URI hết cho nên ngay từ đầu, dù có hợp lệ nó cũng bị dính ngay HTTP error 404.

- Thứ nhì, nếu quả thật Referer có giá trị chính xác là:
Referer: ...
..
pF..

thì chắc chắn nó sẽ bị cản và sẽ dính ngay HTTP error 400 bởi vì nó vi phạm RFC.

- Thứ ba, các giá trị referer trong error log không đầy đủ và thuộc dạng hex. Decode ra cũng không có ý nghĩa gì hết.

Cho nên, khó có thể xác định được kẻ tấn công muốn tạo kết quả gì.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 16/01/2012 08:06:35 (+0700) | #3 | 252561
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

conmale wrote:
Anh thấy,

- Thứ nhất GET /URI có vẻ vô giá trị vì chẳng có ai lại dùng URI là /URI hết cho nên ngay từ đầu, dù có hợp lệ nó cũng bị dính ngay HTTP error 404.
 

À, cái này là em "redacted" rồi anh. Vẫn có những requests đến URI này với Referer hợp lệ và status trả về 200.

conmale wrote:

- Thứ nhì, nếu quả thật Referer có giá trị chính xác là:
Referer: ...
..
pF..

thì chắc chắn nó sẽ bị cản và sẽ dính ngay HTTP error 400 bởi vì nó vi phạm RFC.
 

Cái này là đúng đó anh. pcap file sau khi dump được đọc bằng `tcpdump -qns 0 -A -r` hoặc `tcpick -C -yP -r` đều cho kết quả như thế.

conmale wrote:


- Thứ ba, các giá trị referer trong error log không đầy đủ và thuộc dạng hex. Decode ra cũng không có ý nghĩa gì hết.

Cho nên, khó có thể xác định được kẻ tấn công muốn tạo kết quả gì. 

Tại thi thoảng nó vẫn bắn vào error_log nên em thật sự muốn biết nó là cái gì, nguyên nhân do đâu?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 16/01/2012 21:11:22 (+0700) | #4 | 252600
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Bây giờ trên Internet hình như có nhiều mạng bot tự động đi scan các server, máy tính, tìm chỗ sơ hở và và nếu sơ sót là bị chui vào ngay.

Một số hệ thống có báo cáo cho mình, ngày nào cũng ghi nhận vài chục tới hàng trăm, hàng ngàn illegal request/server, test open relay với SMTP và scan mật khẩu của tất cả các dịch vụ có xác thực, nói chung đủ các dịch vụ miễn là nó mở cổng.

Nhất là rất nhiều các fail authen vào SSH (dĩ nhiên 5 phát sai là bị fail2ban chặn rồi), ngày nào cũng đều đặn vài ngàn phát fail không mệt mỏi. Đến nối mình phải đổi port SSH sang số khác cho dù tự tin đặt mật khẩu an toàn (sợ nhất là 1 user nào đó vui tính đặt 123456).
Web thì scan đủ kiểu, ví dụ GET kiểu thế này:
Code:
GET    //admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 200 
GET    //lists/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 200


IP nguồn của nó thì rải rác từ Brazil, TQ, ấn độ, châu Phi, Mỹ và cả Việt Nam không ít. Thế nên chả có gì lạ khi trên access_log có vài cái cố tình làm sai RFC như kia.

Có lẽ cường độ các scan khá lớn, bác nào trương mặt cái server ra Internet, dù chỉ tạm thời trong thời gian setup hoặc thử cái gì đó, mà không tuân theo các quy tắc an toàn tối thiểu như mật khẩu đặt an toàn, bật Firewall và đặc biệt là vá víu lỗi cẩn thận thì chả mấy ngày mà bị đập chết.
Việc scan này đôi lúc làm nhiễu thông tin, admin đôi khi sao lãng và ko chú ý đến các cảnh báo (vì ngày nào chả có ít nhiều), lúc bị làm đích ngắm thật thì lại ko kịp trở tay.
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 17/01/2012 05:36:58 (+0700) | #5 | 252611
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Mấy cái request mẫu mà myquarz đưa lên nhìn thấy ớn quá smilie. Request như vậy mà vẫn return 200 thì nó chơi 1 vòng permutation thế nào cũng bị dính chưởng. Các web servers hay reverse proxies nên có một cơ chế cản lọc căn bản để loại bỏ những request bất hợp lệ. Ít ra nó giảm thiểu được hiểm hoạ phần nào đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 17/01/2012 08:32:25 (+0700) | #6 | 252612
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Mới đầu nhìn em cũng ớn thật.
2 cái file index.php đó là có tồn tại. Và vào nó nếu sai tham số thì đơn giản là nó in ra cái thông báo lỗi thiếu tham số (từ script), nhưng với HTTP server thì vẫn là 200.

Chắc phải chế thêm cái gì để lọc cho nó đẹp hơn.
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 17/01/2012 08:48:26 (+0700) | #7 | 252614
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@myquartz

Thắc mắc sao không dùng modsecurity, hoặc nếu được thì tương luôn cái snort
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 17/01/2012 08:52:07 (+0700) | #8 | 252615
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

vd_ wrote:
@myquartz

Thắc mắc sao không dùng modsecurity, hoặc nếu được thì tương luôn cái snort 


Mod_security hoặc snort thì có nghĩa là tốn thêm tài nguyên để chạy (đôi khi còn tốn hơn cái server chính). Mình chỉ dành nó cho những thứ quan trọng hơn, khách hàng VIP hơn.
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 18/01/2012 08:42:42 (+0700) | #9 | 252649
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@myquartz

Tui đã thử modsec với server cùi 128M ram, chạy chậm nhưng vẫn được. snort thì đúng là đòi hỏi resource cao hơn. modsec feeds log cho ossec để tự động cài iptables thì sẽ hạn chế được khá khá các request tự động -> giảm tải đáng kể lên server chứ?
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 18/01/2012 09:45:26 (+0700) | #10 | 252651
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
modsec feeds log cho ossec để tự động cài iptables thì sẽ hạn chế được khá khá các request tự động -> giảm tải đáng kể lên server chứ?
 


em nghĩ việc tạo rules iptables từ log của Application Security như mod sec quả là không nên. Vì log không phải lúc nào cũng đúng, cái này attacker hoàn toàn có thể handle để hệ thống không nhận ra, hoặc nhận ra sai. Không biết anh có giải pháp gì cho việc này ?
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 18/01/2012 10:32:26 (+0700) | #11 | 252653
[Avatar]
jerrykun
Member

[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
modsec có nhiều kiểu báo lỗi , mình nghĩ nếu count được số lần bad url input cho mỗi ip với thời gian ấn định thì chắc sẽ hạn chế được những thằng bị block oan và loại bỏ được các cỗ máy auto vul scan.
Health, Knowledge, Family has the same value !
[Up] [Print Copy]
  [Question]   referer lạ trong error_log của Apache 02/02/2012 10:07:40 (+0700) | #12 | 253032
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@Ikut3
modsec + core rule set cấu hình hoạt động dạng anomaly score, nghĩa là mỗi lần có alert sẽ có một số điểm nhất định được cộng dồn lại. Sau khi điểm tích luỹ lớn hơn biên độ đặt ra thì lúc đó các rule trong modsecurity_crs_60_correlation.conf mới thực sự ghi log.

Kết hợp với ossec config dạng "nếu xxx match in yyy second" thì sẽ đạt được điều mà @jerrykul muốn.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|