593 shaares
6 results
tagged
apache
Hum, chais pas chez vous, mais ici on commence à recevoir les premiers scan spécifiques "ShellShock".
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=
Nom de Zeus ! Piwik est aussi capable de manger les log apache !
Graaaaah le graaaal pour une archi basée sur un RP !
Bon c'est décidé, mod_remoteip + le support du Forward Secrecy (voir http://vincent.bernat.im/fr/blog/2011-ssl-perfect-forward-secrecy.html via sebsauvage) => je migre en version 2.4 tu peux pas test.
Bon c'est décidé, mod_remoteip + le support du Forward Secrecy (voir http://vincent.bernat.im/fr/blog/2011-ssl-perfect-forward-secrecy.html via sebsauvage) => je migre en version 2.4 tu peux pas test.
Grah, mod_proxy_html vire le doctype il faut utiliser la directive ProxyHTMLDocType pour le reconfigurer.
[edit] En fait, il ne faut pas utiliser "ProxyHTMLDocType html".
Je cite : "If the first form is used, mod_proxy_html will also clean up the HTML to the specified standard. It cannot fix every error, but it will strip out bogus elements and attributes."
Et suite à ça, mod_proxy_html semble avoir une dent contre l'attribut "placeholder" de la balise <input>.... qu'il détecte comme "bogus".... normal.
Donc il faut utiliser la deuxième 'forme' et spécifier en dur le doctype : ProxyHTMLDocType "<!DOCTYPE html>"
Au moins il ne touche plus au code, car je pense que ça ne doit pas être le seul effet de bord.
Une directive utile : ProxyHTMLLogVerbose On
Qui permet d'avoir le fameux message d'erreur dans les logs explicant la disparition de l'attribut dans les balises.
Documentée ici : http://apache.webthing.com/mod_proxy_html/config.html
La dernière mise à jour du module date de 2009... ça commence à dater, mais il rend bien service.
[edit] En fait, il ne faut pas utiliser "ProxyHTMLDocType html".
Je cite : "If the first form is used, mod_proxy_html will also clean up the HTML to the specified standard. It cannot fix every error, but it will strip out bogus elements and attributes."
Et suite à ça, mod_proxy_html semble avoir une dent contre l'attribut "placeholder" de la balise <input>.... qu'il détecte comme "bogus".... normal.
Donc il faut utiliser la deuxième 'forme' et spécifier en dur le doctype : ProxyHTMLDocType "<!DOCTYPE html>"
Au moins il ne touche plus au code, car je pense que ça ne doit pas être le seul effet de bord.
Une directive utile : ProxyHTMLLogVerbose On
Qui permet d'avoir le fameux message d'erreur dans les logs explicant la disparition de l'attribut dans les balises.
Documentée ici : http://apache.webthing.com/mod_proxy_html/config.html
La dernière mise à jour du module date de 2009... ça commence à dater, mais il rend bien service.
Fonctionne nickel sous windows (merci VLC pour me lavoir fait découvrir) contrairement à gltail. Ruby sux.
Pour lire vos logs apache à distance, rien de plus simple, dans le répertoire du soft :
ssh <login>@<host>tail -f /var/log/apache2/*/access.log | ./logstalgia.exe -u 1 --sync -x -1024x768 -
Pour lire vos logs apache à distance, rien de plus simple, dans le répertoire du soft :
ssh <login>@<host>tail -f /var/log/apache2/*/access.log | ./logstalgia.exe -u 1 --sync -x -1024x768 -
Le couteau suisse du .htaccess