banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Michael_Scotfield  XML
Profile for Michael_Scotfield Messages posted by Michael_Scotfield [ number of posts not being displayed on this page: 0 ]
 
Chào mọi người
Em đang gặp 1 vấn đề với server SuperMicro, mong các anh, em có kinh nghiệm chỉ giúp.
+ Máy em xài Main X8DTL-i và đã mua thêm card Raid m1415 IBM cho máy này
Quá trình install XenServer bình thường, nhưng khi setup vm thì gặp vấn đề
+ VM không nhận ổ cứng mặc dù em đã gán ổ cứng cho vm rồi, và tất cả hdh đều bị trường hợp này

Không biết có cần phải có thêm driver gì, để cài dc vm không ạ ?
Mục đích mô hình là để failover 2 đường WAN, bạn lại hỏi failover cho 2 firewall, bạn có đọc kỹ bài lab ko vậy ?.

Nếu muốn failover cho 2 firewall thì bạn dựng lab tạo CARP cho 2 con thôi.
hì hì, server web linux được không khigiadano, không biết code web là asp hay php nhỉ smilie
Ok, em có thể hiểu dc thế này, nếu sử dụng firewall cứng thì firewall này có 1 phần mềm antivirus sẵn, và chỉ scan được các virus có trong database, không biết database này có cập nhật được không các anh nhỉ smilie

Nếu sử dụng 1 soft đặt ở gateway để monitor traffic, và thì hiện nay có phần mềm nào chuyên dụng để làm việc này không các anh. Ý em là nó tích hợp và tự động phát hiện, chứ không cần phải 1 sysadmin có kinh nghiệm monitor thường xuyên.
Em có 1 người bạn, vô tình máy dính virus hay trojan gì đó, cứ cắm cable là nó phun traffic ào ào ra các địa chỉ bên ngoài, bạn em cũng biết là máy có virus, nhưng không ngờ là bộ phận bảo mật của công ty cũng biết chính xác máy bạn em có virus, và gởi mail cảnh báo.
Đành rằng traffic trong LAN có thể dc monitor, nhưng làm thế nào giữa 1 đống packet ở hàng trăm máy mà có thể phân biệt dc packet nào là của virus, packet nào là của người dùng.
Cái đó là do kinh nghiệm người monitor hay là do có 1 phần mêm nào làm chuyện đó(đương nhiên thì kiến thức người quản trị là không thể thiếu được) ?
Mọi người giúp em trả lời để em mở rộng kiến thức với .
Em đã cái đặt mod_security cho server. quá trình setup và set rule để test thử mod_security không vấn đề gì, nhưng khi em add mod_security_crs vào, thì test thử với 1 vài kiểu tấn công, nhưng đều pass qua hết, trong audit log thì có ghi lại 1 list các rule trùng, nhưng hình như mặc đỉnh rule mọi thứ đều pass thì phải.
Không biết là do em install sai, hay crs đòi hỏi phải nắm rõ rule, để bik lúc nào deny lúc nào pass ?.Ai có install CRS rồi giúp em cái này với

Cụ thể em test với 1 con shell trên máy local bằng url
Code:
http://localhost/c99.php

Audit log ghi nhận
Code:
SecAction "phase:1,t:none,nolog,pass,setvar:tx.critical_anomaly_score=5,setvar:tx.error_anomaly_score=4,setvar:tx.warning_anomaly_score=3,setvar:tx.notice_anomaly_score=2"
SecAction "phase:1,t:none,nolog,pass,setvar:tx.inbound_anomaly_score_level=5"
SecAction "phase:1,t:none,nolog,pass,setvar:tx.outbound_anomaly_score_level=4"
SecAction "phase:1,t:none,nolog,pass,setvar:tx.paranoid_mode=0"
SecAction "phase:1,t:none,nolog,pass,setvar:tx.max_num_args=255"
SecAction "phase:1,t:none,nolog,pass,setvar:'tx.allowed_methods=GET HEAD POST OPTIONS',setvar:'tx.allowed_request_content_type=application/x-www-form-urlencoded multipart/form-data text/xml application/xml application/x-amf',setvar:'tx.allowed_http_versions=HTTP/0.9 HTTP/1.0 HTTP/1.1',setvar:'tx.restricted_extensions=.asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ .cfg/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .lnk/ .log/ .mdb/ .old/ .pass/ .pdb/ .pol/ .printer/ .pwd/ .resources/ .resx/ .sql/ .sys/ .vb/ .vbs/ .vbproj/ .vsdisco/ .webinfo/ .xsd/ .xsx/',setvar:'tx.restricted_headers=/Proxy-Connection/ /Lock-Token/ /Content-Range/ /Translate/ /via/ /if/'"
SecRule "REQUEST_HEADERS:User-Agent" "@rx ^(.*)$" "phase:1,t:none,pass,nolog,t:sha1,t:hexEncode,setvar:tx.ua_hash=%{matched_var}"
SecAction "phase:1,t:none,pass,nolog,initcol:global=global,initcol:ip=%{remote_addr}_%{tx.ua_hash}"
SecRule "REQUEST_METHOD" "@rx ^(?:GET|HEAD)$" "phase:1,log,chain,rev:2.1.2,t:none,block,msg:'GET or HEAD requests with bodies',severity:2,id:960011,tagsmilieROTOCOL_VIOLATION/EVASION,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/6.5.10,tag:http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.3"
#SecRule "REQUEST_HEADERS:Content-Length" "!@rx ^0?$" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/INVALID_HREQ-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_METHOD" "!@rx ^OPTIONS$" "phase:2,log,chain,rev:2.1.2,t:none,block,msg:'Request Missing an Accept Header',severity:2,id:960015,tagsmilieROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/6.5.10"
#SecRule "&REQUEST_HEADERS:Accept" "@eq 0" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/MISSING_HEADER-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_METHOD" "!@rx ^OPTIONS$" "phase:2,log,chain,rev:2.1.2,t:none,block,msg:'Request Has an Empty Accept Header',severity:2,id:960021,tagsmilieROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"
#SecRule "REQUEST_HEADERS:Accept" "@rx ^$" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/MISSING_HEADER-%{matched_var_name}=%{matched_var}"
SecRule "&REQUEST_HEADERS:Content-Type" "@eq 0" "phase:2,log,chain,rev:2.1.2,t:none,block,msg:'Request Containing Content, but Missing Content-Type header',id:960904,severity:5"
#SecRule "REQUEST_HEADERS:Content-Length" "!@rx ^0$" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.protocol_violation_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-PROTOCOL_VIOLATION/MISSING_HEADER-%{matched_var_name}=%{matched_var}"
SecRule "&TX:MAX_NUM_ARGS" "@eq 1" "phase:2,log,chain,t:none,block,msg:'Too many arguments in request',id:960335,severity:4,rev:2.1.2"
#SecRule "&ARGS" "@gt %{tx.max_num_args}" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.notice_anomaly_score},setvar:tx.policy_score=+%{tx.notice_anomaly_score},setvar:tx.%{rule.id}-POLICY/SIZE_LIMIT-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_BASENAME" "@rx \\.(.*)$" "phase:2,log,chain,capture,setvar:tx.extension=.%{tx.1}/,t:none,t:urlDecodeUni,t:lowercase,block,msg:'URL file extension is restricted by policy',severity:2,id:960035,tagsmilieOLICY/EXT_RESTRICTED,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/6.5.10,logdata:%{TX.0}"
#SecRule "TX:EXTENSION" "@within %{tx.restricted_extensions}" "t:none,setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/EXT_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "REQUEST_HEADERS_NAMES" "@rx ^(.*)$" "phase:2,log,chain,t:none,block,msg:'HTTP header is restricted by policy',id:960038,tagsmilieOLICY/HEADER_RESTRICTED,tagsmilieOLICY/FILES_NOT_ALLOWED,tag:WASCTC/WASC-21,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,tag:WASCTC/WASC-15,tag:OWASP_TOP_10/A7,tagsmilieCI/12.1,severity:4,logdata:%{matched_var},capture,setvar:tx.header_name='/%{tx.0}/'"
#SecRule "TX:HEADER_NAME" "@within %{tx.restricted_headers}" "setvar:tx.msg=%{rule.msg},setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,t:none,nolog,skipAfter:END_SESSION_FIXATION"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,t:none,nolog,skipAfter:END_FILE_INJECTION"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,t:none,nolog,skipAfter:END_COMMAND_ACCESS"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,t:none,nolog,skipAfter:END_COMMAND_INJECTION"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,rev:2.1.2,t:none,nolog,skipAfter:END_SQL_INJECTION_WEAK"
SecRule "TXsmilieARANOID_MODE" "!@eq 1" "phase:2,t:none,nolog,skipAfter:END_XSS_CHECK"
SecRule "RESPONSE_BODY" "!@pm iframe" "phase:4,rev:2.1.2,t:none,capture,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase,nolog,skipAfter:END_IFRAME_CHECK"
SecRule "RESPONSE_BODY" "!@pmFromFile modsecurity_50_outbound.data" "phase:4,rev:2.1.2,t:none,capture,t:urlDecodeUni,t:htmlEntityDecode,nolog,skipAfter:END_OUTBOUND_CHECK"
Bạn check log và queue chưa, xem thử coi mail vì lý do gì ko đi được, bạn gởi đi bất cứ đâu đều không được hay sao ?
Bạn config heartbeat + DRBD thế nào vậy, có thể chia sẻ cho tớ với dc ko ?
Xin lổi mọi người, do làm theo tut mà chưa hiểu hết các option nên SecRule Engine đang bật ở chế độ DetectOnly, em đã sửa lạ và đã test được mod_security smilie
Em đã setup xong mod_security, và tạo thử 1 rule đơn giản để test thử :
SecRule ARGS abc "phase:1,log,deny,status:503"
 


Nhưng khi truy cập vào server thì vẫn bình thường, không hiện lên status error 503, mặc dù audit log vẫn phát hiện và báo trùng rule ?
--1a203d52-A--
[06/Apr/2011:16:51:24 +0700] TZw3nH8AAQEAACawDO0AAABA 192.168.25.80 20062 192.168.25.90 80
--1a203d52-B--
GET /?test=abc HTTP/1.1
Host: 192.168.25.90
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.204 Safari/534.16
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
If-None-Match: "4163d-b1-4a03b3c0facd4"
If-Modified-Since: Wed, 06 Apr 2011 07:49:38 GMT

--1a203d52-F--
HTTP/1.1 304 Not Modified
Last-Modified: Wed, 06 Apr 2011 07:49:38 GMT
ETag: "4163d-b1-4a03b3c0facd4"
Accept-Ranges: bytes
Content-Length: 0
Vary: Accept-Encoding
Keep-Alive: timeout=15, max=94
Connection: Keep-Alive
Content-Type: text/html

--1a203d52-E--

--1a203d52-H--
Message: Warning. Pattern match "abc" at ARGS:test. [file "/opt/modsecurity/etc/modsecurity.conf"] [line "28"]
Stopwatch: 1302083484907582 37118 (36600 36603 -)
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.5.13 http://www.modsecurity.org/).
Server: Apache/2.2.16 (Ubuntu)

--1a203d52-K--
SecRule "ARGS" "@rx abc" "phase:1,auditlog,log,deny,status:503"

--1a203d52-Z--
 


Thật sự thì em chỉ mới setup đuơc chứ chưa nắm rõ rule, em chỉ muốn test thử xem mod_security đã hoạt động chưa không thôi, nên nếu em sai xót chổ nào ace góp ý giùm
Em cám ơn
@panfider : ok, theo nhận định của bạn là vn yếu kém, vậy bạn vui lòng chỉ rõ yếu kém ở điểm nào, yếu kém về mặt nào, trình độ các sysadmin của vn ta theo bạn là thế nào, những người làm lương 17tr 18tr theo bạn họ ở trình độ nào ?
@meoneo : bạn mua domain thì trỏ domain về ip tĩnh ftth thôi là ok, không cần phải làm dns server gì đâu, bạn có thể check ip public của bạn bằng những trang web trên mạng, rồi so sánh với địa chỉ ip bạn đã thuê smilie

panfider wrote:
mình chỉ biêt Unix và ở thành phố HCM không biết bạn có hổ trợ cho tiền phí đi lại 


@panfider bạn biết aix là os gì ko ?, bạn có nhìn vào mức lương không ?, chi phí đi lại là thế nào? , sáng hỗ trợ bạn bay ra hn, chiều hỗ trợ bạn bay về hcm ?

Bạn hỏi nhiều câu tớ cảm thấy bức xúc quá :-s

conmale wrote:

quanta wrote:

giaodaulamxung wrote:

conmale wrote:
Chạy:

# cat /etc/resolv.conf xem nó ra cái gì? 

E chạy lệnh trên chỉ show ra đc 1 dòng: "search localdomain" ạ 

Vậy mà "vẫn duyệt web trên FF như thường" được sao? 


Có thể được nếu như có một "ông" squid đứng trước và "ông" squid đó chịu trách nhiệm resolve names luôn smilie


Em có 1 số thắc mắc trong câu trả lời của anh conmale :
1) Nếu client duyệt web vd yahoo.com, đầu tiên client sẽ tìm xem yahoo.com có ip là gì, bằng cách gởi gói request dns tới dns server được liệt kê trong /etc/resolv.conf, ở đây file resolv.conf không hề khai báo dns server thì làm sao client có thể duyệt web được ?
2) Theo em tìm hiểu thì squid là 1 proxy, nếu như squid chịu trách nhiệm resolve names thì squid phải đứng với vai trò là gateway của client, vậy thì tại sao trong terminal client lại không thể nhờ squid resolve names được ?
Mong mọi người giải đáp giúp em ! smilie
Nếu nói về raid thì công ty hosting hay sử dụng Raid 1 hoặc Raid 5, hầu hết các server đều có hỗ trợ raid cứng và các server của công ty tớ đều sử dụng raid cứng do main hỗ trợ sẵn, nhưng tớ nghĩ sử dụng raid mềm cũng không vấn đề gì, việc dùng raid kết hợp với lvm thì bản thân raid hoặc lvm đã có ích lợi rồi, và sự kết hợp này hầu như là điều tất yếu trong các công ty hosting vì tính hiện hành và khả năng mở rộng của raid và lvm .
không connect được internet cũng có nhiều dạng.
1) Bạn check thử địa chỉ ip của máy xem thế nào .
2) Bạn ping thử gateway xem đã thông chưa
3) Bạn phân giải thử 1 domain nào đó xem dns đã phân giải được chưa
4) Bạn thử tắt firewall của centOS với command setup

Nếu vẫn không được bạn post các thông tin phía trên lên và nhiều người khác sẽ xem và giúp bạn smilie
@panfider tớ thấy hình như bạn tự tin hay là bạn cố tỏ ra nguy hiểm smilie.
VN mình không ai viết ftpd hay named không phải vì không ai viết được, mà là do họ không muốn phí thời gian để viết những cái đã có sẵn và đang sử dụng tốt.

Bạn nghiên cứu và tìm hiểu để viết ftpd với mục đích học tập hoàn toàn là 1 ý tốt, nhưng cũng đừng có suy nghĩ 1 mình làm nên lịch sử khi chẳng có kiến thức cơ bản, và vội vàng đưa ra cái lập luận vn mình dở quá, nhìn vào cảm thấy rất khó chịu.
Bạn dùng command host thử domain của bạn xem đã phân giải được chưa, cụ thể ở đây là tcv.vn.

Thân
Hình không xem được vitcon01 ơi, nhưng theo mình, thì đối với các nhà cung cấp hosing, thì mount point /home phải luôn là nhiều nhất và phải có khả năng mở rộng được.
file là config-fast.sh bạn ./config-fast nó ko ra là phải, bạn ./config-fast.sh hoặc sh config-fast.sh nhé
Sorry anh em, mình giải quyết được rồi, do mình vô ý, copy file thiếu 1 ký tự, nhưng nhìn không ra, chân thành xin lỗi .
Sau khi build mlogc thì restart apache em nhận được 1 lỗi lạ, đã search google và chmod đủ kiểu mà không fix được.
đoạn config trong apache2.conf
Code:
SecAuditEngine RelevantOnly
SecAuditLogType Concurrent
SecAuditLogParts ABIDEFGHZ
SecAuditLogStorageDir /var/log/mlogc/data
SecAuditLog "|/usr/local/bin/mlogc /opt/mlogc.conf"


và sau khi restart apache thì lỗi:
Code:
* Restarting web server apache2
[Wed Mar 30 09:59:25 2011] [1] [15471/0] Unable to open configuration file: /opt/mlogc.conf
[Wed Mar 30 09:59:26 2011] [1] [15480/0] Unable to open configuration file: /opt/mlogc.conf

Cho mình hỏi thêm, nếu áp dụng mô hinh 2 DB handle 1 read 1 write, thì cách nào syn dữ liệu giữa 2 database tốt nhất ??
Phần 1 : em thử comment phần socket sử dụng mysql.sock của mysql thì thấy vẫn connect bình thường.

Theo em hiểu thì unix socket domain là những socket để các service trong 1 máy giao tiếp với nhau. Vậy thì khi đóng socket của mysql thì ta sẽ không connect được tới mysql.

Phần 2: sau khi test thì em nhận thấy named pipes giống như 1 file tạm, nhưng khác ở chỗ là ta có thể truyền command thông qua named pipes còn file tạm thì ko được.
Chào bạn, beehost đang tuyển nhân viên, bạn liên hệ thử xem
http://beehost.vn
Chào bạn, công ty beehost đang tuyển nhân viên đó, bạn tham khảo nhé, cũng it support , http://beehost.vn
Code:
#! /bin/bash
lynx -dump localhost/server-status | grep 'requests currently' > /home/scotfield/a.txt
b=`cat /home/scotfield/a.txt | cut --delimiter=' ' -f 4`
echo $b
if [ $[$b>200] -eq 1 ]; then
/bin/mail -s "Over 200 Request" "scotfield@gmail.com" < /home/scotfield/b.txt
fi


Done, thanks anh quanta, em đã test và thành công.

quanta wrote:
Nhưng mà khi nó chỉ có 1 chữ số thì kết quả trả về lại có cả chữ 'r' trong requests à. Nên cắt bằng cách lấy word đầu tiên, thế là chuẩn nhất.

PS: bạn có 2 nicks à? 


Không phải có 2 nick ạ, do sử dụng máy của 1 đồng nghiệp trong công ty mà em quên logout, cứ để vậy mà reply.
ok anh, để em thử code lại rổi sẽ up lên.Thnks anh smilie

Sau khi được anh quanta gợi ý, mình đã mày mò ngồi code thử, và đã làm được.
Đây là code của mình, anh em xem góp ý giúp, vì mình cũng mới code nên có những chỗ nó hơi loàn ngoàn dẫn tới dở, xem mà thấy chỗ nào dở anh em góp ý giúp để mình sửa cũng như học thêm. Cám ơn trước

Code:
#!/bin/bash
lynx -dump http://ip/server-status | grep 'requests currently' > def
a=`cat /home/scotfield/def`
echo $a
b=`echo ${a:3:3}`
echo $b
if [ $[$b>200] -eq 1 ]; then
zenity --warning --text "server qua 200 request"
fi


Em dự định đưa code này vào crontab, chạy 1 phút 1 lần
Server Web cty có bật mod status, em thường xuyên phải check trang status này, nhiều lúc lo làm việc mà quên check nó, em muốn tạo 1 script để check tag html khi trang status được firefox load.

Cụ thể:
Em muốn check field request currently trên trang status, nếu field này > 300 chẳng hạn thì xuất ra 1 message box để thông báo.

Xuất ra message box thì em có thể làm được, nhưng cách check thế nào thì em chưa có hướng đi, anh em nào biết thì chỉ cho em hướng để em tìm hiểu.

Em cám ơn trước.
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|