RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

"bösartige" Query-Strings erkennen

https://www.rootforum.org/forum/viewtopic.php?t=34213

Page 1 of 1

"bösartige" Query-Strings erkennen

Posted: 2005-04-16 17:07
by andreask2
Hallo!

Ich suche nach typischen Strings, an denen man erkennt dass jemand versucht eine Sicherheitslücke im Webserver bzw. einem Script auszunutzen. Hier muss man erstmal den ganzen Müll der wahllosen Scanner aussortieren, am besten wenn man einfach nur nach Statuscode 2xx und 3xx sucht.

Die Frage ist, welche Strings sind jetzt interessant. Der "Klassiker" wäre wohl "wget". wenn ich nach "ftp" oder "tftp" suche finde ich fast nur "Angriffe" gegen IIS. Was könnt Ihr empfehlen, oder hat jemand ne gute Resource?

Grüße
Andreas

Re: "bösartige" Query-Strings erkennen

Posted: 2005-04-16 17:28
by andreask2
Nochmal ein paar Ideen nachdem ich mir ein paar Exploits angesehen hatte:

../
..%2F
=/
=%2F
%5C0

Re: "bösartige" Query-Strings erkennen

Posted: 2005-04-16 18:47
by Joe User
Die Mühe hat sich bereits Jemand gemacht: http://www.modsecurity.org/

Re: "bösartige" Query-Strings erkennen

Posted: 2005-04-16 19:04
by andreask2
Ah, gute Idee. Eigentlich will ich nur mal ein bisschen mit tenshi rumprobieren. Es ist sicher besser solche "Angriffe" vorher zu blocken, als nur darüber "zu berichten". Aber da ich sowieso keine Standard-PHP Scripte wie PHPBB & Co. verwende, mache ich mir darum eigentlich kaum Sorgen.

Doof ist nur dass in den Logs ja keine Parameter von POST-Requests auftauchen, damit ist das was ich mir da überlege eigentlich eh recht sinnfrei. Auf jeden Fall habe ich auf der Seite genau die Infos gefunden, die ich gesucht habe:

http://www.modsecurity.org/documentatio ... mples.html
http://www.modsecurity.org/documentatio ... -rules.txt

Danke Dir!

Re: "bösartige" Query-Strings erkennen

Posted: 2005-04-16 19:08
by andreask2
Idee war es einen "Indikator" zu haben, dass da jemand was versucht, so dass ich direkt benachrichtigt werde. mod_security kann eh nicht alles verhindern, hat AFAIK auch noch eigene Probleme.

Re: "bösartige" Query-Strings erkennen

Posted: 2005-04-16 20:24
by Joe User
Das es nicht alle potentiellen Angriffe abwehren/loggen kann, sollte jedem Admin klar sein. Die bekannten Pattern sollten Dir aber schon weiterhelfen und viel Arbeit ersparen ;)

Re: "bösartige" Query-Strings erkennen

Posted: 2005-06-07 20:29
by chaosad
verwendet ihr eigentlich die standard rules oder fügt ihr auch noch eure eigenen Regeln hinzu? Wär doch mal ganz interessant was alles noch mit eingebaut wird.

Mir ist auch klar das man das für den eigenen Server anpassen muß, aber a paar Sachen findet man immer die noch fehlen.

Re: "bösartige" Query-Strings erkennen

Posted: 2005-06-08 05:30
by dodolin
Wenn wir das schon aufwaermen, SNORT hat sicher auch ein paar Regelsaetze fuer Webserver Angriffe.

Re: "bösartige" Query-Strings erkennen

Posted: 2005-06-09 19:19
by lord_pinhead
Snort hat allerdings das Problem das die Regelsätze aufgebläht sind. Lest euch mal das hier durch, da gibt es Regexp zu Crosssite Script Attacken.
All times are UTC+02:00
Page 1 of 1