Phát hiện và chống xâm nhập Web Server với Mod Security

[bebadboy87]

1. Giới thiệu về Mod_security

ModSecurity là một bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall). Hoạt động như một module của máy chủ web Apache, mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn công đã biết và chưa biết.

Sau khi cài đặt Apache mặc định sẽ không có mod_security.Bạn phải download mod_security từ http://www.modsecurity.org .Phiên bản mới nhất hiện nay là 1.9. Mod_security dùng được cho cả apache 1.x và 2.x (trên cả windows ,*.nix …)

2.Cài đặt và cấu hình:

Việc install Mod_security tương đối đơn giản,sau khi đã download Binary packages về:
Với apache 2.x:
Bạn chỉ việc copy file mod_security.so vào thư mục modules/ của apache và mở file httpd.conf thêm vào dòng sau:

PHP Code:

LoadModule security_module modules/mod_security.so 


là có đã hoàn thành bước cài đặt
Với apache 1.x:
Ban copy file mod_security.so (*.nix ) hoăc mod_security.dll (windows) vào thư mục libexec/ và mở file httpd.conf thêm vào dòng sau:

PHP Code:

LoadModule security_module libexec/mod_security.so 


Để sử dụng mod_security bạn phải cấu hình cho nó( cái này tùy vào mỗi hệ thống mà sẽ dẫn đến những cấu hình khác nhau). Trước tiên bạn mở file httpd.conf ra và thêm vào dòng sau:

PHP Code:

<IfModule mod_security.c>
   # cấu hình cho mod_security
</IfModule> 


hoặc bạn có thể tạo riêng một file là modsecurity.conf trong thư mục conf cua apache và include nó tù file cấu hình của apache httpd.conf:

PHP Code:

<IfModule mod_security.c>
   include conf/modsecurity.conf
</IfModule> 


Sau khi cài đặt mặc định bộ máy filtering sẽ disable ( muốn dùng mod_security chúng ta phải bật nó lên).
Ban chỉ việc thêm vào dòng sau trong file modsecurity.conf:
SecFilterEngine On ( or Off , DynamicOnly )
Sau đây là cách cấu hình cho mod_security để hạn chế những kiểu tấn công cơ bản:

PHP Code:

#Chống lại kiểu tấn công thực thi các lệnh:
SecFilter /etc/password
SecFilter /bin/ls
#Chống lại kiểu tấn công Directory traversal
SecFilter "\.\./"
#Lọc các kí tự hay dùng trong shell code
SecFilterForceByteRange 32 126
#Lọc các kí tụ hay dùng trong XSS attack
SecFilter "<(.|\n)+>"
SecFilter "<[[:space:]]*script"
#chống lại kiểu tấn công XSS thông qua PHP session cookie

SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"

SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"

#Hạn chế sqlinjection attack
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#Hạn chế MSSQL injection attack
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
#chống spam mail

<Location /cgi-bin/FormMail>

    SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"

</Location>

#phát hiện xâm nhập

SecFilterSelective OUTPUT "Volume Serial Number"

SecFilterSelective OUTPUT "Command completed"

SecFilterSelective OUTPUT "Bad command or filename"

SecFilterSelective OUTPUT "file(s) copied"

SecFilterSelective OUTPUT "Index of /cgi-bin/"

SecFilterSelective OUTPUT ".*uid\=\("

#Nếu muốn ghi lại log
SecAuditLog logs/audit.log
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 0
#Muốn mod_security phân tích POST request, dùng:
SecFilterScanPOST On

# để mod_security *kiểm tra* URL encoding và UTF-8.
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding On 


Lưu ý: nếu bạn dùng SecFilterCheckUnicodeEncoding On, một số bộ gõ hay input tiếng Việt sẽ không hoạt động, một số bộ gõ hay input tiếng Việt sẽ không hoạt động Nếu bạn chạy web với nhiều virtualhost và muốn một site trong nhiều sites không dùng mod_security, bạn có thể dùng:

PHP Code:

SecFilterSelective SERVERNAME "^tên_của_web_site$" nolog,allow 


Theo Quantrimang.com

[okgame_root]

ông anh đã làm chưa???? hay là lại đi coppy ở đâu đó

ôgn anh thử làm trên máy ông anh roài share link đây thằng em tấn công đủ các kiủe em có die home sever ko nhé

[Xuyến Chi]

Hỏi gì thừa thế?! Cậu không đọc được dòng chữ "Theo Quantrimang.com" ở cuối bài của Teppi à?! Ai chả biết cậu là "smod của một forum hacking"!! Ghê gớm quá đi mất!!

[bebadboy87]

ông anh đã làm chưa???? hay là lại đi coppy ở đâu đc

Nguồn được tôi ghi là " Quản Trị Mạng " và như thế không quá rõ sao. Còn thử thì tất nhiên là cũng thử rồi - Code có sẵn lại được hướng dẫn một cách kỹ càng như thế tại sao ko nhỉ? Với lại tôi biết cái này qua lời giới thiệu của một người bạn nên lại càng không thể không thử !

ôgn anh thử làm trên máy ông anh roài share link đây thằng em tấn công đủ các kiủe em có die home sever ko nhé

Tôi làm để tôi biết và tích luỹ thêm kiến thức cho mình chứ chả để khẳng định gì hay muốn thách đố một ai cả. Đừng nghĩ ai cũng giống ai !