mod_security kural zinciri hakkında

[byilyas]

Merhabalar,

mod_securtiynin default olan kural zinciri joomla sitelerde yönetim panelinden içerik eklerken konu başlığında TR karakter içeriyorsa mod_security engelliyor ve sayfa 406 hatasına düşüyor.

.htaccess dosyası ile bu içerik eklemedeki sıkıntıyı gideremedim. mod_securtiynin kural zincirini komple boşaltıyorum yani hiçbir kural girilmemiş halde kaydediyorum ozaman sorun kalmıyor ortada ama bu şekilde de bazı güvenlik açıkları oluşabilir güvenlik açığı vermeden arkadaşlarımız arasında sağlam bir kural zinciri varmıdır kendi sunucularınızda kullandığınız mo_securitydeki kuralları paylaşırsanız sevinirim.

Amaç shell filan yemeden güvenlik sağlayabilmek ve sitelerde 406 hatasına rastlamamak...

[Onursal]

ben bunu kullanıyorum.

mutlaka olması gereken bir kural
SecFilterSelective THE_REQUEST "/*\.txt\?"

[byilyas]

İzninizle bi denemek isterim ve birde sorum olucaktı...

Alıntı:

mutlaka olması gereken bir kural
SecFilterSelective THE_REQUEST "/*\.txt\?"

şeklinde belirtmişsiniz işlevi nedir acaba açıklıyabilirmisiniz?

[ALEXIS]

csf ile mod_security uyumlu çalışır mı, ilk defa kuracağım ?

[Onursal]

Alıntı:

byilyas yazmış

İzninizle bi denemek isterim ve birde sorum olucaktı...

şeklinde belirtmişsiniz işlevi nedir acaba açıklıyabilirmisiniz?

dene tabi ayıpsın.

işlevi şöyle türkiyede kendi hacker sananlar sitelerin sonuna index.php?id=http:///exploit.linki/hnn.txt? gibi link getirip açık kapı ararlar. bizim kural sondaki txt? kısmını önler zaten sonda soru işareti ? kalmadımı exploit dışardan çalışmaz.

ama sunucunuza php olarak upload ederse çalıştırır. bunun içinde artı güvenlik önlemleri var. php fonksiyonlarını kapama, open basedir, safe mod v.s

@alexix

çalışır. sorun çıkarmaz yani.

[ALEXIS]

Soruyu değiştirdim:

WHM de "Mod Security" zaten var, bu mod_security yi daha önce kurduğum anlamına mı geliyor, edit ile kuralları ekleyebiliyoruz sanırım.

httpd.conf a eklenmiş

Kod:

 Include "/usr/local/apache/conf/modsec2.conf"

modsec2.conf da:

Kod:

LoadFile /opt/xml2/lib/libxml2.so
LoadModule security2_module  modules/mod_security2.so
<IfModule mod_security2.c>
SecRuleEngine On
# See http://www.modsecurity.org/documentation/ModSecurity-Migration-Matrix.pdf 
#  "Add the rules that will do exactly the same as the directives"
# SecFilterCheckURLEncoding On 
# SecFilterForceByteRange 0 255
SecAuditEngine RelevantOnly
SecAuditLog logs/modsec_audit.log 
SecDebugLog logs/modsec_debug_log
SecDebugLogLevel 0
SecDefaultAction "phase:2,deny,log,status:406"
SecRule REMOTE_ADDR "^127.0.0.1$" nolog,allow
Include "/usr/local/apache/conf/modsec2.user.conf"
</IfModule>

[Onursal]

öylede olabilir. zaten whm panelinizde tıklayıp kuralları ekleyebiliyorsunuz. (sol menude en altta)

[ALEXIS]

edit deyip yazıyorum, ama apache başlamıyor. Sadece bunu yazıyorum:


SecFilterSelective THE_REQUEST "/*\.txt\?"

(9)Bad file descriptor: apr_socket_accept: (client socket) Syntax error on line 1 of /usr/local/apache/conf/modsec2.user.conf: Invalid command 'SecFilterSelective', perhaps misspelled or defined by a module not included in the server configuration

SecFilterScanPOST on

(9)Bad file descriptor: apr_socket_accept: (client socket) Syntax error on line 1 of /usr/local/apache/conf/modsec2.user.conf: Invalid command 'SecFilterScanPOST', perhaps misspelled or defined by a module not included in the server configuration

[byilyas]

Alıntı:

Fesih BICER yazmış

ben bunu kullanıyorum.

mutlaka olması gereken bir kural
SecFilterSelective THE_REQUEST "/*\.txt\?"

Sayın hocam

o nasıl kuraldır ya kuralları ekledim sitelerin yayını durdu senin sunucu bu kurallara nasıl dayanıyor veya httpd nasıl dayanıyor?

sen ciddimisin bu kuralları kullandığına ben sitelerin açılması için zor temizlettim:ag:

[Onursal]

@alexis
ama sen 2. veriyonunu kullanıyorsun. benim kurallar 1x versiyonu için.

2.x için ruleleri ek yapıyorum indir. işine yarayanları kullan