Konu: mod_security kural zinciri hakkında
Tekil Mesaj gösterimi
  #15 (permalink)  
Alt 29.03.08, 12:32 AM
Ni-Osman - ait Kullanıcı Resmi (Avatar)
Ni-Osman Ni-Osman isimli Üye şuanda online konumundadır
Linux HelpDesk
  
Üyelik tarihi: Feb 2008
Nerden: Denizli
Mesajlar: 230
Tecrübe Puanı: 5012
Ni-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond reputeNi-Osman has a reputation beyond repute
Ni-Osman - MSN üzeri Mesaj gönder Ni-Osman - YAHOO üzeri Mesaj gönder Ni-Osman isimli Üyeye Skype üzeri Mesaj gönder
Alıntı:
ALEXIS´isimli üyeden Alıntı Mesajı göster
Burada sürüyle kural var, bana sadece mod_security test edebileceğim basit bir kural yazabilir misiniz?

Mesela, şu çalışmasın, error 403 versin:

site.com/index.php?cmd=
http://www.ni.net.tr/dosyalar/modsec.conf.txt

bunu eskiden her ay güncellerdim otomatik cron yapmıştık herkesin makinasına buradan çekerdi apache restart olurdu ama artık bu tür bash script işleri ile uğraşacak zamanım olmuyor bunu incelemeni tavsiye ederim misal bak demişsinki

index.php?cmd=

bunu engellemek istiyorum benim kural dosyamda

SecFilterSelective THE_REQUEST "act=chmod"

bunları görmüşsündür bunlar ya c99 için ya r57 için bunların tamamı değişkenler şimdi sen gider bunu

SecFilterSelective THE_REQUEST "php?cmd="

yaparsan işini görecektir yada


SecFilterSelective THE_REQUEST "cmd="

ama sandığın gibi değil bu R57 c99 gibi şeyleri yapan elemanlar bazı hazır scriptlerin değişkenlerini kullanarak yapmış (modsec ile bunu önlerlerse hazır scriptlerin çalışmaması için)

bu nedenle kural dosyasında şunları göreceksin

SecFilterSelective THE_REQUEST "act=tools"
SecFilterSelective THE_REQUEST "act=gof"
SecFilterSelective THE_REQUEST "act=ls"
SecFilterSelective THE_REQUEST "act=mk"
SecFilterSelective THE_REQUEST "act=f&"
SecFilterSelective THE_REQUEST "act=sql"
SecFilterSelective THE_REQUEST "act=gofile"
SecFilterSelective THE_REQUEST "act=mkdir"
SecFilterSelective THE_REQUEST "act=ftpquickbrute"
SecFilterSelective THE_REQUEST "act=d"
SecFilterSelective THE_REQUEST "act=phpinfo"
SecFilterSelective THE_REQUEST "act=security"
SecFilterSelective THE_REQUEST "act=makefile"
SecFilterSelective THE_REQUEST "act=encoder"
SecFilterSelective THE_REQUEST "act=fsbuff"
SecFilterSelective THE_REQUEST "act=selfremove"
SecFilterSelective THE_REQUEST "act=update"
SecFilterSelective THE_REQUEST "act=feedback"
SecFilterSelective THE_REQUEST "act=search"
SecFilterSelective THE_REQUEST "act=chmod"
SecFilterSelective THE_REQUEST "act=upload "
SecFilterSelective THE_REQUEST "act=delete"
SecFilterSelective THE_REQUEST "act=paste"
SecFilterSelective THE_REQUEST "act=copy"
SecFilterSelective THE_REQUEST "act=cut"
etc. etc..

bu şekilde devam ediyor tüm bunları değişken ve eşitlikleri tek tek yazmamızdaki sebep act yi bir başka hazır scriptin kullanıyor olması

bu kural dosyasına bakarak tamamen kendi özel kural dosyalarınızı yazabilirsiniz


Unutmadan yaptıklarınızı paylaşmayı unutmayın!

Kolay gelsin.
__________________
Netinternet Telekom
Artık daha çok zamanınız var!
Alıntı ile Cevapla