OT: Evtl. Sicherheitslücke in Modsecurity

[menki]

ja sicher in jedem modsecurity tarball gibt es ein rules verzeichniss. dieses kannst du so reinkopieren und somit die bestehenden rules ersetzen:

Code:

cp /tmp/modsecurity-apache_2.5.7/rules/*.conf /etc/modsecurity2

bitte vorher die besteheden conf files sichern.
jedoch sollte man beachten das die modsecurity version und die modsecurity rules nicht zu starkt voneinander abweichen. also modsec 2.5.6 ist auch mit den rules von modsec 2.5.7 kompatibel. zu grosse versionssprünge sollte man nicht machen.

du kannst auch in der

Code:

/etc/modsecurity2/modsecurity_crs_10_config.conf

die rule auf:

Code:

# Turn ModSecurity on ("On"), set to monitoring only
# ("DetectionOnly") or turn off ("Off").
#
SecRuleEngine DetectionOnly

setzen und beobachten wie und was greift....somit kannst du dann die rules nachher verändern/anpassen und dann die modsec wieder aktivieren (auf on setzen). so fällt es NICHT auf das du was geändert hast.

check mal die rules mit: w3m http://deinewebseite.de/index.php?path=/etc/passwd

es muss error 400 : method not implemented kommen. dieses muss auch in der default-error.log protokoliert sein!

da ich 1.5 TB im monat an daten bewege sind meine modsec*.conf files in dem modsecurity verzeichniss optimal für die breite palette an usern angepasst . ich kann dir die conf files von meiner aktuellsten modsecurity software online stellen. wenn du es brauchen solltest...

MENKI

[Lucan]

Hallo Menki, ich hatte inzwischen auch mal im serversupport forum nach gefragt, dort warte ich grade auf die letzte Antwort, denn scheinbar gehts auch einfacher.


Das mit den Regeln ist nett, aber ich pass mir die lieber selber an, desto strenger desto besser, so lange sie nichts behindern, deswegen schalte ich bei mir nur das nötigste frei, was die programme brauchen.




Grüße