593 shaares
Hum, chais pas chez vous, mais ici on commence à recevoir les premiers scan spécifiques "ShellShock".
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=