Tsukiji Systems
RSS1.0


googleで
サイト内検索
このブログ
を検索!
  help

巻き戻し中。

2010年
1月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31


2010-01-24(日) 鯖で [長年日記]

_ PC 試しに

mod_securityでちょろっと拡散防止の保険と、一部対策。

「SecResponseBodyAccess On」にして、以下のルールを作成してinclude。*1

読み込む順番は、先の方が良いね。

後ろの方だとエラーになったり挙動が変わる。

POSTされてくる内容やファイル、Referrerも一応確認。

手口は内部からftpアカウント盗んでだから、まともに外から来る可能性は低いが念のため406。

RESPONSE_BODYも見ているので、万一変なファイル置かれても、他人様が読んじゃう前に415で止める。

まぁ、こんな感じ。。。(「/*C●DE1*/」を含むhtmlファイルを置いてみた)

でもなぁ、ftpアカウント取られた時点でこの程度のルールぐらい書き換えられちゃってもおかしくないよね。。。

「気は心」程度かな。

*1 例によって自爆しないよう、「*」を全角にしてるお(^ω^)

SecRule REQUEST_HEADERS|ARGS "/\*L●PL\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*L●PL\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*CO●E1\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*CO●E1\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*G●U GPL\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*G●U GPL\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*Ex●eption\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*Ex●eption\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"

_ PC RESPONSE_BODY

そう言えば、この項目がなかなかフィルタされずに半日悩んだ。

RESPONSE_BODYの項目を読むと「SecResponseBodyAccess On」と「MIMEタイプ設定*1してね」ぐらいしかマニュアルに書いていないのだが、SecResponseBodyAccessには、

Dependencies/Notes:

This directive is required if you plan to inspect HTML responses.

This directive must be used along with the "phase:4"

processing phase action and RESPONSE_BODY variable/location.

If any of these 3 parts are not configured,

you will not be able to inspect the response bodies.

だと。

いや、ずっとphase:2でやっていて悩んでしまった。

ちなみにマニュアルのを見ると、本来「REQUEST_HEADERS」はPhase1っぽいが他の例を見てもPhase2になってる。

結局Phase2とPhase4で分けてみた。*2

ふーん( ´_ゝ`)

*1 「SecResponseBodyMimeType (null) text/html text/plain text/xml」してみた

*2 全部Phase4で一行にしてもちゃんと動くんだけど、それぞれ最適な場所で処理する方が良い気がするので



アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ