Hallo!
Ich suche nach typischen Strings, an denen man erkennt dass jemand versucht eine Sicherheitslücke im Webserver bzw. einem Script auszunutzen. Hier muss man erstmal den ganzen Müll der wahllosen Scanner aussortieren, am besten wenn man einfach nur nach Statuscode 2xx und 3xx sucht.
Die Frage ist, welche Strings sind jetzt interessant. Der "Klassiker" wäre wohl "wget". wenn ich nach "ftp" oder "tftp" suche finde ich fast nur "Angriffe" gegen IIS. Was könnt Ihr empfehlen, oder hat jemand ne gute Resource?
Grüße
Andreas
"bösartige" Query-Strings erkennen
Re: "bösartige" Query-Strings erkennen
Nochmal ein paar Ideen nachdem ich mir ein paar Exploits angesehen hatte:
../
..%2F
=/
=%2F
%5C0
../
..%2F
=/
=%2F
%5C0
Re: "bösartige" Query-Strings erkennen
Die Mühe hat sich bereits Jemand gemacht: http://www.modsecurity.org/
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: "bösartige" Query-Strings erkennen
Ah, gute Idee. Eigentlich will ich nur mal ein bisschen mit tenshi rumprobieren. Es ist sicher besser solche "Angriffe" vorher zu blocken, als nur darüber "zu berichten". Aber da ich sowieso keine Standard-PHP Scripte wie PHPBB & Co. verwende, mache ich mir darum eigentlich kaum Sorgen.
Doof ist nur dass in den Logs ja keine Parameter von POST-Requests auftauchen, damit ist das was ich mir da überlege eigentlich eh recht sinnfrei. Auf jeden Fall habe ich auf der Seite genau die Infos gefunden, die ich gesucht habe:
http://www.modsecurity.org/documentatio ... mples.html
http://www.modsecurity.org/documentatio ... -rules.txt
Danke Dir!
Doof ist nur dass in den Logs ja keine Parameter von POST-Requests auftauchen, damit ist das was ich mir da überlege eigentlich eh recht sinnfrei. Auf jeden Fall habe ich auf der Seite genau die Infos gefunden, die ich gesucht habe:
http://www.modsecurity.org/documentatio ... mples.html
http://www.modsecurity.org/documentatio ... -rules.txt
Danke Dir!
Re: "bösartige" Query-Strings erkennen
Idee war es einen "Indikator" zu haben, dass da jemand was versucht, so dass ich direkt benachrichtigt werde. mod_security kann eh nicht alles verhindern, hat AFAIK auch noch eigene Probleme.
Re: "bösartige" Query-Strings erkennen
Das es nicht alle potentiellen Angriffe abwehren/loggen kann, sollte jedem Admin klar sein. Die bekannten Pattern sollten Dir aber schon weiterhelfen und viel Arbeit ersparen ;)
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: "bösartige" Query-Strings erkennen
verwendet ihr eigentlich die standard rules oder fügt ihr auch noch eure eigenen Regeln hinzu? Wär doch mal ganz interessant was alles noch mit eingebaut wird.
Mir ist auch klar das man das für den eigenen Server anpassen muß, aber a paar Sachen findet man immer die noch fehlen.
Mir ist auch klar das man das für den eigenen Server anpassen muß, aber a paar Sachen findet man immer die noch fehlen.
Re: "bösartige" Query-Strings erkennen
Wenn wir das schon aufwaermen, SNORT hat sicher auch ein paar Regelsaetze fuer Webserver Angriffe.
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: "bösartige" Query-Strings erkennen
Snort hat allerdings das Problem das die Regelsätze aufgebläht sind. Lest euch mal das hier durch, da gibt es Regexp zu Crosssite Script Attacken.