Apache Security Modülü ( mod_sec )

CorsaiR

CorsaiR

Emektar
27 Ara 2005
1,228
18
Çekirdekten
Apache Security Modülü ( mod_sec )
Kurulum kısmı tek tık ile hallolsada ruleset kısmında "acaba ne yazmalıyım?" tarzında sorusu olabilicek sunucu sahipleri için minik bir how-to.


WHM'ye giriyoruz, soldaki "cPanel" menümüzden "Addon Modules" linkini tıklıyoruz ve sağdan "modsecurity" bölgesindeki "Install and Keep Updated" checkbox'ini klikleyip yallah diyoruz.

ardından.. sunucumuza SSH üzerinden root ile giriş yapıyoruz..

#cd /usr/local/apache/conf/
yazarak modsecurity'nin ayar dosyalarının yamacına gidiyoruz.

#rm -rf modsec.conf
yazarak mevcut conf'u siliyoruz.

ekdeki modsec.conf'u text editörünüz ile açıp
sunucuda..
#pico -w modsec.conf
komutu ile modsec.conf oluşturup lokaldeki modsec.conf'un içeriğini oraya pasteliyoruz ve kaydedip çıkıyoruz.

#pico -w modsec.snort.conf
snort.org tarafından tespit edilmiş bilimum atağı engelleyecek ruleset'i http://modsecurity.org/********ation/snortmodsec-rules.txt

adresinden temin edip modsec.snort.conf'un içine kaydedip çıkıyoruz.

#/scripts/restartsrv httpd
diyerekten apache'mizi yeniden başlatıyoruz ve olayımız bitiyor.

arzu ederseniz biraz google kasarak modsec.conf için çeşitli kurallar bulabilirsiniz. ben snort dışında ek hiçbirşey kulanmıyorum. tercih sizin.

afiet

NOT : eger snortda soun yaşarsanız 2inci sayfadaki mesajımda verdiğim modsec.conf'u snortsuz bir şekilde kulanabilirsiniz.
 
CorsaiR

CorsaiR

Emektar
27 Ara 2005
1,228
18
Çekirdekten
direk whm kullanarak bu kural dosyasınıda kullanabilirsiniz çok sıkıdır özel yapım bazı scriptlerde hata verdirebilir csf varsa mod sec ile beraber çalıştırabilirsiniz birçokkes kuralları ihlal edeni banlayacaktır deneyin.



Kod: 
SecFilterEngine Off
SecServerSignature " "
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding On
SecFilterForceByteRange 1 255
SecAuditEngine RelevantOnly
SecAuditLog /var/log/httpd/audit_log
SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:500"
# istekler HTTP_USER_AGENT ve HTTP_HOST hepsi
#SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
# XSS için
SecFilter "<[[:space:]]*script"
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective THE_REQUEST "/bin/ps"
SecFilterSelective THE_REQUEST "ps\x20"
SecFilter "wget\x20"
SecFilter "uname\x20-a"
SecFilterSelective THE_REQUEST "/usr/bin/id"
SecFilter "\;id"
SecFilterSelective THE_REQUEST "/bin/kill"
SecFilterSelective THE_REQUEST "/usr/bin/chsh"
SecFilter "tftp\x20"
SecFilterSelective THE_REQUEST "/usr/bin/gcc"
SecFilter "gcc\x20-o"
SecFilterSelective THE_REQUEST "/usr/bin/cc"
SecFilter "cc\x20"
SecFilterSelective THE_REQUEST "/usr/bin/cpp"
SecFilter "cpp\x20"
SecFilterSelective THE_REQUEST "/usr/bin/g\+\+"
SecFilter "g\+\+\x20"
SecFilterSelective THE_REQUEST "bin/python"
SecFilter "python\x20"
SecFilter "bin/tclsh"
SecFilter "tclsh8\x20"
SecFilterSelective THE_REQUEST "bin/nasm"
SecFilter "nasm\x20"
SecFilter "perl\x20"
SecFilter "traceroute\x20"
SecFilterSelective THE_REQUEST "/bin/ping"
SecFilter "nc\x20"
SecFilter "nmap\x20"
SecFilterSelective THE_REQUEST "/usr/X11R6/bin/xterm"
SecFilter "\x20-display\x20"
SecFilter "lsof\x20"
SecFilter "rm\x20"
SecFilterSelective THE_REQUEST "/bin/mail"
SecFilterSelective THE_REQUEST "/bin/ls"
SecFilter "/etc/shadow"
SecFilterSelective THE_REQUEST "\.htgroup"
SecFilter " /HTTP/1\."
SecFilterSelective THE_REQUEST "/formmail" chain
SecFilter "\x0a"
SecFilterSelective THE_REQUEST "/formmail" log,pass
SecFilterSelective THE_REQUEST "/phf" chain
SecFilter "\x0a/"
SecFilterSelective THE_REQUEST "/phf" log,pass
SecFilterSelective THE_REQUEST "/phf" chain
SecFilter "\x0a/"
SecFilterSelective THE_REQUEST "/phf" log,pass
SecFilterSelective THE_REQUEST "/rksh"
SecFilterSelective THE_REQUEST "/bash" log,pass
SecFilterSelective THE_REQUEST "/zsh"
SecFilterSelective THE_REQUEST "/csh"
SecFilterSelective THE_REQUEST "/tcsh"
SecFilterSelective THE_REQUEST "/rsh"
SecFilterSelective THE_REQUEST "/ksh"
SecFilter "javascript\://"
SecFilterSelective THE_REQUEST "/fpsrvadm\.exe" log,pass
SecFilterSelective THE_REQUEST "/fpremadm\.exe" log,pass
SecFilterSelective THE_REQUEST "/admisapi/fpadmin\.htm" log,pass
SecFilterSelective THE_REQUEST "/scripts/Fpadmcgi\.exe" log,pass
SecFilterSelective THE_REQUEST "/_private/orders\.txt" log,pass
SecFilterSelective THE_REQUEST "/_private/form_results\.txt" log,pass
SecFilterSelective THE_REQUEST "/_private/registrations\.htm" log,pass
SecFilterSelective THE_REQUEST "/cfgwiz\.exe" log,pass
SecFilterSelective THE_REQUEST "/authors\.pwd" log,pass
SecFilterSelective THE_REQUEST "/_vti_bin/_vti_aut/author\.exe" log,pass
SecFilterSelective THE_REQUEST "/administrators\.pwd" log,pass
SecFilterSelective THE_REQUEST "/_private/form_results\.htm" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/access\.cnf" log,pass
SecFilterSelective THE_REQUEST "/_private/register\.txt" log,pass
SecFilterSelective THE_REQUEST "/_private/registrations\.txt" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/service\.cnf" log,pass
SecFilterSelective THE_REQUEST "/service\.pwd" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/service\.stp" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/services\.cnf" log,pass
SecFilterSelective THE_REQUEST "/_vti_bin/shtml\.exe" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/svcacl\.cnf" log,pass
SecFilterSelective THE_REQUEST "/users\.pwd" log,pass
SecFilterSelective THE_REQUEST "/_vti_pvt/writeto\.cnf" log,pass
SecFilterSelective THE_REQUEST "/dvwssr\.dll" log,pass
SecFilterSelective THE_REQUEST "/_private/register\.htm" log,pass
SecFilterSelective THE_REQUEST "/_vti_bin/" log,pass
SecFilter "img src=javascript"
SecFilter "\.htpasswd"
SecFilter "\.htaccess"
SecFilter "cd\.\."
SecFilterSelective THE_REQUEST "///cgi-bin"
SecFilterSelective THE_REQUEST "/cgi-bin///"
SecFilterSelective THE_REQUEST "/~root"
SecFilterSelective THE_REQUEST "/~ftp"
SecFilter "cat\x20"
SecFilterSelective THE_REQUEST "/rpm_query"
SecFilterSelective THE_REQUEST "/htgrep" chain
SecFilter "hdr=/"
SecFilterSelective THE_REQUEST "/htgrep" log,pass
SecFilterSelective THE_REQUEST "/\.history"
SecFilterSelective THE_REQUEST "/\.bash_history"
SecFilterSelective THE_REQUEST "/~nobody"
SecFilterSelective THE_REQUEST "/*\x0a\.pl"
SecFilter "CCCCCCC\: AAAAAAAAAAAAAAAAAAA"
SecFilter "chunked"
SecFilterSelective THE_REQUEST "/left_main\.php" chain
SecFilter "cmdd="
SecFilterSelective THE_REQUEST "/dnstools\.php" chain
SecFilter "user_dnstools_administrator=true"
SecFilterSelective THE_REQUEST "/dnstools\.php" chain
SecFilter "user_logged_in=true"
SecFilterSelective THE_REQUEST "/dnstools\.php" log,pass
SecFilterSelective THE_REQUEST "/dostuff\.php\?action=modify_user"
SecFilterSelective THE_REQUEST "/dostuff\.php" log,pass.
SecFilterSelective THE_REQUEST "<script"
SecFilterSelective THE_REQUEST "\?STRENGUR"
SecFilter "_PHPLIB\[libdir\]"
ayrıca elinizde nekadar FSO yada piyasadaki adı ile shell varsa burayla paylaşın onlar için beraberce kural dosyası yazalım hemde mod_sec'in her yönü ile nimetlerinden faydalanır ögrenirsiniz.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.