Folgendes Problem: Im audit_log von mod_security (Regeln von gotroot plus ein wenig selber gebastelt) habe ich einige Einträge, die wie folgt aussehen:
==6dd1ba1d==============================
Request: www.diedomain.de 81.137.29.245 - - [10/Oct/2006:23:57:36 +0200] "GET http://www.diedomain.de/?m=200609&paged=1/ HTTP/1.0" 500 1070 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)" - "-"
Handler: type-map
----------------------------------------
GET http://www.diedomain.de/?m=200609&paged=1/ HTTP/1.0
Accept: text/html, text/plain
Accept-Encoding: text/html, text/plain
Accept-Language: en
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)
Host: www.diedomain.de
mod_security-action: 500
mod_security-message: Access denied with code 500. Pattern match "^GET (http|https|ftp)\:/" at THE_REQUEST [severity "EMERGENCY"]
HTTP/1.0 500 Internal Server Error
Vary: accept-language,accept-charset
Accept-Ranges: bytes
Connection: close
Content-Type: text/html; charset=iso-8859-1
Content-Language: en
Expires: Tue, 10 Oct 2006 21:57:35 GMT
--6dd1ba1d--
Was mir auffällt, ist nur der IE7 als Client. Hat jemand eine Ahnung, ob der irgendwelche blödsinnigen Requests (eben à la "GET http://") zusammenschustert? Hab mich mit dem Teil bisher nicht befasst. Und wie man die Rule entsprechend anpassen kann/sollte, wenn es daran liegt? Oder gibt's einen neuen Standard, den Microsoft spaßeshalber definiert hat? ;)
Solche Anfragen finde ich in der audit_log tagtäglich. Jemand versucht den Server als Proxy zu missbrauchen. Mod_security verhindert dies.
Ist zwar etwas ärgerlich, gehört aber dazu, unabhängig davon ob IE7, Firefox oder nichts in Sachen Browser steht...
Manche versuchen auch mit wget irgendwelche Sachen auf deinem Server zu installieren (Exploits usw).
Sieht dann so aus http://.../?cmd=wget20http://irgendwas
Wenn immer das System aktuell hälst, restriktive Module wie mod_security laufen, Apache im chroot/Jail... kannst beruhigt sein das sowas nicht zum Erfolg führt und im letztgenannten Fall zwar im Falle eines Einbruchs das System nicht so schnell kompromitiert werden kann.
Sprich, ich kann davon ausgehen, dass der User-Agent ein Fake ist? Der hat mich nämlich stutzig gemacht. Bei anderen Anfragen der gleichen Art steht da sowas wie "odfKJHBKJHksdkljhksdjfh sdfh", dann ist klar, dass es sich um irgendeinen dämlichen Bot oder sowas handelt.
Denn wenn mod_security einen realen Besucher aufgrund einer Hirnpanne seitens Microschuft abgewiesen hätte, hätte mich das schon ziemlich geärgert.
So und nicht anders ist das mit dem gefakten User-Agent!
Manchmal sind es Bots, manchmal Typen die versuchen Sicherheitslücken zu nutzen...
Ist halt das berühmt-berüchtigte Pfeifen im Walde.
Wirst durch daran gewöhnen (müssen).