Le Blog du grand loup Zeur » serveur http://blog.gaetan-grigis.eu Le blog qui vous fait connaitre ce que vous savez déjà Tue, 17 Jan 2012 08:43:06 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 monter un serveur PHP en une ligne de commande (ou presque) http://blog.gaetan-grigis.eu/systeme/monter-un-serveur-php-en-une-ligne-de-commande-ou-presque/ http://blog.gaetan-grigis.eu/systeme/monter-un-serveur-php-en-une-ligne-de-commande-ou-presque/#comments Sat, 24 Apr 2010 09:45:22 +0000 Gaëtan http://blog.gaetan-grigis.eu/?p=795 Dans le genre « news de webg33k » en voici une …

A la base, je cherchais à utiliser/écrire un serveur http en python (pas mal de classes existent dans le domaine) pour servir une page html bidon après un man in the middle avec redirection dnspoof sur le serveur http en question, au lieu de déployer l’artillerie lourde apache ou nginx.

Après diverses recherche sur mon ami, je suis tombé sur : créer un serveur http en 10 secondes

  1. sudo python -m SimpleHTTPServer 80

Créant ainsi un serveur http accessible sur : http://127.0.0.1/). Mais cette technique ne fournit que des fichiers statiques (ok c’est déjà pas mal … et c’est plus où moins ce que je cherchais).

Mais en lisant la doc, on peut trouver un « CGIHTTPServer », c’est un serveur qui peut exécuter des scripts (python, perl, php, sh, …) et l’utilisation est similaire :

  1. python -m CGIHTTPServer 8080

qui créera un serveur HTTP sur le dossier courant avec la possibilité d’éxecuter des scripts (EN CLI = ligne de commande) sur le port 8080 (accessible sur http://127.0.0.1:8080/).

ATTENTION, il ne faut pas executer le serveur avec un sudo (pour utiliser le port 80), car sinon, les scripts seront executés en root, ainsi pour le script php suivant (à mettre dans un dossier nommé « cgi-bin » dans le dossier courant d’éxecution de la commande, et faire un chmod +x et nécessite l’installation du paquet php-cli) :

  1. #!/usr/bin/php
  2. <?php
  3. echo "";//pour signaler la fin des headers
  4. echo phpinfo();


 
On remarque bien que le script a les droits root … donc à EVITER.

Il faut donc l’executer sur le port un port supérieur à 1024 (pour ne pas utiliser les droits root : 8080 est le port le plus courant dans ce genre de cas), puis effectuer une redirection de port via iptables qui permettra ici d’accéder au port 8080 du serveur en faisant une requête sur le port 80 :

  1. sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8080

(ne fonctionne pas pour l’adresse de loopback 127.0.0.1).

Si vous voulez exécuter d’autre type de script : sh, python, …, il suffit de les mettre dans le dossier cgi-bin et de faire un chmod +x dessus.

En python :

  1. #!/usr/bin/python
  2. print ""
  3. print "les kikoolols attaquent!!!"

En bash :

  1. #!/bin/bash
  2. echo ""
  3. echo "les kikoolols attaquent!!!"

Ne pas oublier le premier print «  » ou echo «  », qui indique la fin des headers HTTP.

Voilà … c’était le post inutile mais indispensable de la semaine ;)

Articles similaires :

Copyright © 2008-2011 - Gaetan Grigis - blog.gaetan-grigis.eu ]]> http://blog.gaetan-grigis.eu/systeme/monter-un-serveur-php-en-une-ligne-de-commande-ou-presque/feed/ 0 Monter un cluster avec kerrighed sur son réseau http://blog.gaetan-grigis.eu/systeme/monter-un-cluster-avec-kerrighed-sur-son-reseau/ http://blog.gaetan-grigis.eu/systeme/monter-un-cluster-avec-kerrighed-sur-son-reseau/#comments Sat, 19 Dec 2009 18:50:54 +0000 Gaëtan http://blog.gaetan-grigis.eu/?p=637 Plopinou … encore un article de type « retour d’expérience geek »
Temps : 2h (en compilant le tout avec un AMD 3000+)
Niveau : Noob (faut quand même savoir jouer à WoW le temps de la compil’ qui peut prendre 1 heures)

Le but de cette technique était de recycler quelques PC sur mon réseau et gagner en puissance de calcul avec de vieux AMD 3000+ avec 1Go de ram.

Kerrighed est un cluster de type « Grappe de serveur » qui permet un truc assez sympa, il suffit que l’ensemble des machines du réseau utilisent le kernel modifié (un 2.6.20 obligatoire …) pour que l’ensemble de ces machines puissent être emulées comme une seul machine SMP partageant donc le CPU et la RAM des machines, assez sympa pour des logiciels qui bouffent de la ram et du cpu (genre firefox ?? xD).

Le gros intéret de ce type de réseaux face à des solutions comme les systèmes MPI est qu’il n’y a pas besoin d’avoir des logiciels spécifique qui utilisent l’interface en question, ici la plupart des softs qui peuvent tourner sur du kernel SMP (qui devient assez commun sur les dernières machine multi-core pour partager les calculs entre les cores d’une même machine) peuvent être susceptible d’utiliser le CPU/RAM des autres ordi.

Alors bon … d’un côté ça parait super intéressant de pouvoir ajouter la puissance de nos anciens PC, d’un autre ont se dit … c’est naze, faut installer le kernel à la main sur chacune de ces machines, de quoi repousser n’importe qu’elle geek en puissance devant le travail à fournir …

C’est là qu’intervient un truc super sympa que l’iut de stras utilisait pour faire booter les terminaux X (et que d’autre utilisent surement). Utiliser une machine comme serveur dhcp,nfs,tftpd-hpa pour faire booter d’autres machines sur un réseau (en clair, on installe le système sur une machine, et toute les autres boot dessus, permettant même de d’utiliser des machines sans disque dur, comme ça on peut ce faire une machine qui prend tt les dd et les partager sur le réseau et pouvoir rajouter une nouvelle machine en la connectant simplement au réseau et en la bootant dessus).

Pour ça, j’ai suivi un superbe tuto (en anglais, et pas trop vieux en plus) que je vais traduire et commenter avec mes superbes retour d’expériences ^^.

L’architecture :

J’ai ma machine HOST (serveur nfs,dhcp,tftpd, …) sur laquelle je fait toute mes manipulations, avec deux interfaces, la première connectée au net (histoire de pouvoir mettre à jour la machine), et la seconde connectée à mon réseau de cluster, qui a besoin d’un réseau à part, puisque j’utilise un serveur DHCP dédié à l’adressage de ces machines.

Donc voilà, pour les IPs : 192.168.0.1 est mon serveur principal, 192.168.0.10 et 192.168.0.11 sont mes deux nodes qui vont booter sur le réseaux.

L’ensemble des manipulations à suivre ce faisant depuis 192.168.0.1 (nommé HOST).

La première commande :

  1. apt-get install dhcp3-server tftpd-hpa portmap syslinux nfs-kernel-server nfs-common debootstrap

qui permettra d’installer l’ensemble des softs nécessaire à notre cluster.

Puis on modifie le fichier /etc/default/dhcp3-server et on spécifie l’interface sur laquelle est connecté notre cluster (eth0 étant ma connexion au net) :

  1. INTERFACES="eth1"

Puis le fichier /etc/dhcp3/dhcpd.conf

  1. # General options
  2. option dhcp-max-message-size 2048;
  3. use-host-decl-names on;
  4. deny unknown-clients;
  5. deny bootp;
  6.  
  7. option domain-name "cluster.lan";
  8. option domain-name-servers 192.168.0.1;
  9.  
  10. subnet 192.168.0.0 netmask 255.255.255.0 {
  11. option routers 192.168.0.1;
  12. option broadcast-address 192.168.0.255;
  13. }
  14.  
  15. group {
  16. filename "pxelinux.0";
  17. option root-path "192.168.0.11:/nfsroot/kerrighed";
  18.  
  19. host node1 {
  20. fixed-address 192.168.0.10;
  21. hardware ethernet 11:33:22:55:44:66;#à remplacer par l'adresse mac de votre machine 1
  22. }
  23. host node2 {
  24. fixed-address 192.168.0.11;
  25. hardware ethernet 11:22:33:44:55:66;#à remplacer par l'adresse mac de votre machine 2
  26. }
  27.  
  28. server-name "host";
  29. next-server 192.168.0.1; # Server IP
  30. }

On permet le lancement en daemon de tftp au démarrage de la machine en modifiant /etc/default/tftp-hpa

  1. RUN_DAEMON="yes"
  2. OPTIONS="-l -s /var/lib/tftpboot"

On copie notre loader pxe

  1. cp /usr/lib/syslinux/pxelinux.0 /var/lib/tftpboot

On créer notre dossier de conf :

  1. mkdir -p /var/lib/tftpboot/pxelinux.cfg

Et on edit notre fichier de boot réseau dans /var/lib/tftpboot/pxelinux.cfg/default :

  1. LABEL linux
  2. KERNEL vmlinuz-2.6.20-krg
  3. APPEND console=tty1 root=/dev/nfs nfsroot=192.168.0.1:/nfsroot/kerrighed ip=dhcp rw session_id=1

Maintenant que notre boot est prêt, il faut créer le système sur lequel les autres machines vont booter :

  1. mkdir -p /nfsroot/kerrighed

On prépare l’import en éditant le fichier /etc/exports :

  1. /nfsroot/kerrighed 192.168.0.1/255.255.255.0(rw,no_subtree_check,async,no_root_squash)

Puis un coup de

  1. exportfs -avr && debootstrap – -arch i386 lenny /nfsroot/kerrighed http://ftp.fr.debian.org/debian

Qui peut prendre un bon bout de temps (z’avez le temps de faire un warsong voir même une instance de 30 minutes sur WoW ^^) … puis on fait un coup de

  1. chroot /nfsroot/kerrighed

Pour changer les fichiers de config de notre « nouvelle machine » :

  1. mount -t proc none /proc && mkdir /config && mount -t configfs none /config && apt-get update && export LC_ALL=C && apt-get install dhcp3-common nfs-common nfsbooted openssh-server && ln -sf /etc/network/if-up.d/mountnfs /etc/rcS.d/S34mountnfs &&  apt-get install automake autoconf libtool pkg-config gawk rsync bzip2 libncurses5 libncurses5-dev wget lsb-release xmlto patchutils xutils-dev build-essential subversion && svn checkout svn://scm.gforge.inria.fr/svn/kerrighed/trunk /usr/src/kerrighed -r 5426

Puis modification du /etc/fstab

  1. proc /proc proc defaults 0 0
  2. /dev/nfs / nfs defaults 0 0
  3. configfs /config configfs defaults 0 0

On passe par /etc/network/interfaces pour configurer notre réseau … pour moi :

  1. auto lo
  2. iface lo inet loopback
  3. iface eth0 inet dhcp

Une fois que la plupart des configs sont faites, on peut passer par la compilation du kernel kerrighed.

  1. wget -O /usr/src/linux-2.6.20.tar.bz2 http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.20.tar.bz2 && cd /usr/src/kerrighed && ./autogen.sh && ./configure && cd kernel && make defconfig && make menuconfig

Dans le menu ‘super ecran bleu’ :
Allez dans « Device Drivers » puis « Network device support » et choisir sa carte réseau (sinon vous n’arriverez pas à monter le root une fois le kernel booté).
Revenir au premier menu et choisir « File systems » puis « Network File Systems » et permettre le nfsV3.
On quitte et on sauvegarde la configuration (en cliquant sur « exit »).

On reprend nos commandes (on peut faire un match sur HoN là, y’en a pour une heure) :

  1. cd .. && make kernel && make && make kernel-install && make install && ldconfig

On continue la configuration de notre systèmes en modifiant le fichier /etc/kerrighed_nodes

  1. session=1 #entre 1 et 254
  2. nbmin=1 #nombre de node minimal pour kerrighed.
  3. 192.168.0.10;1:eth0
  4. 192.168.0.11:2:eth0

et on termine ici en modifiant /etc/default/kerrighed

  1. ENABLE=true

on quitte notre chroot par un superbe :

  1. exit

On copie notre « booter » dans le boot et on redémarre tout nos soft :

  1. cp /nfsroot/kerrighed/boot/vmlinuz-2.6.20-krg /var/lib/tftpboot/ && /etc/init.d/tftpd-hpa start && /etc/init.d/dhcp3-server start && /etc/init.d/portmap start && /etc/init.d/nfs-kernel-server restart

A partir de maintenant, toute machine bootant en réseau sera capable d’utiliser le kernel compilé. (assez sympa en cyber café, ou … ;) ).

Par contre une fois lancer, il ne faut pas oublier d’autoriser la migration des processus en se connectant sur l’une des nodes :

  1. krgadm nodes && krgadm cluster start && /usr/local/bin/krg_legacy_scheduler && krgcapset -d +CAN_MIGRATE && krgcapset -k $$ -d +CAN_MIGRATE && krgcapset -d +USE_REMOTE_MEMORY && krgcapset -k $$ –inheritable-effective +CAN_MIGRATE

Et voilà … les geeks en puissance vont pouvoir faire revivre leurs premières machines ^^ (et les terminer dignement xD)

Articles similaires :

Copyright © 2008-2011 - Gaetan Grigis - blog.gaetan-grigis.eu ]]> http://blog.gaetan-grigis.eu/systeme/monter-un-cluster-avec-kerrighed-sur-son-reseau/feed/ 16 Administration de serveurs apache : modsecurity2 http://blog.gaetan-grigis.eu/systeme/administration-de-serveurs-apache-modsecurity2/ http://blog.gaetan-grigis.eu/systeme/administration-de-serveurs-apache-modsecurity2/#comments Sat, 14 Feb 2009 13:22:36 +0000 Gaëtan http://blog.gaetan-grigis.eu/?p=307 Bijour

Bé voilà vé parler du modsecurity2 … pourquoi ?? Ben on trouve pas mal de tut’s sur le net, mais c’est que pour le mod_security (sans le 2 ^^), et la syntaxe à malheureusement changée depuis.

Donc voilà …

Il faut tout d’abord rajouter un dépôt (le mien ^^) au fichier /etc/apt/sources.list :

  1. deb http://ppa.launchpad.net/cipher.16/ppa/ubuntu intrepid main

et rajouter la clé associée au dépôt :

  1. sudo apt-key adv –recv-keys –keyserver keyserver.ubuntu.com DA27D37831F6D1C0BC85566CDD2A2A8817FB9A87

Ensuite faire un apt-get install modsecurity2 && a2enmode mod-security2.

Pourquoi préférer cette version à celle de inittab (proposé par la doc de modsecurity) ?? … parce que c’est la dernière version stable (2.5.7, qui permet des trucs sympa … cf. la fin de l’article ;) )

Par défaut, tous les fichiers de configuration liés au modsecurity2 sont bazardés dans le dossier /usr/share/apache/mod_security2_rules (je suis pas assez doué pour faire du post-install dans mes paquets …), vous pouvez soit les déplacer dans le dossier  /etc/apache2/conf.d/, mais il faudra un peu les retoucher (surtout le modsecurity_crs_10_config.conf en modifiant les fichiers de logs, sinon des erreurs apparaitront lors du démarrage du serveur).

Pour utiliser les fichiers de configuration fournit par le paquet :

  1. cat /usr/share/apache2/mod_security2_rules/*.conf >> /etc/apache2/conf.d/security

et modifier toutes les lignes en rapport avec les logs, pour cela, remplacez :

SecAuditLog logs/modsec_audit.log par SecAuditLog /var/log/apaches2/modsec_audit.log
SecDebugLog logs/modsec_debug.log par SecDebugLog /var/log/apache2/modsec_debug.log

Ou bien, vous pouvez faire votre propre fichier de configuration, grâce à la superbe doc.

Pour cela, allez dans le dossier /etc/apache2/conf.d/ et modifiez le fichier security.conf, ou bien en créer un nommé … du nom que vous voulez.

Dans lequel il faudra mettre (au minimum, histoire de faire propre) :

<IfModule mod_security2.c>
  1. ServerTokens Full
  2. ServerSignature On
  3. TraceEnable Off
  4.  
  5. SecRuleEngine On
  6. SecRequestBodyAccess On
  7. SecResponseBodyAccess On
  8.  
  9. SecAuditLog /var/log/apache2/mod_secure.log
  10. ## RESTE DE LA CONFIG A METTRE ICI
  11.  
  12. ## NE PAS TOUCHER PLUS LOIN
  13. </IfModule>

Et on met quoi dans cette configuration ???

Plein de choses diverses et variées (on peut aussi rajouter quelque lignes des fichiers d’exemple dans /usr/share/apache2/mod_security2_rules, qui peuvent être très intéressante pour bloquer les injections, …).
Pour induire en erreurs/bloquer certains scanners :

Changement de la signature du serveur (un peu grossié ^^ mais ça peut induire en erreur les n00b … ça fait toujours ça de moins) :

SecServerSignature « Windows 2003 IIS/6.0″
  1. SecRule REQUEST_HEADERS:User-Agent ".*perl.*" "t:none,msg:'Perl based user agent identified'"
  2. SecRule REQUEST_HEADERS:User-Agent ".*nikto.*" "t:none,msg:'Nikto Scanners Identified'"
  3. SecRule REQUEST_HEADERS:User-Agent "(?:\b(?:m(?:ozilla\/4\.0 \(compatible\)|etis)|webtrends security analyzer|pmafind)\b|n(?:-stealth|sauditor|essus|ikto)|b(?:lack ?widow|rutus|ilbo)|(?:jaascoi|paro)s|webinspect|\.nasl)" \
  4. "phase:2,t:none,t:lowercase,deny,log,auditlog,status:404,msg:'Request Indicates a Security Scanner Scanned the Site',id:'990002',tag:'AUTOMATION/SECURITY_SCANNER',severity:'2'"
  5. SecRule REQUEST_HEADERS_NAMES "\bacunetix-product\b" \
  6. "phase:2,t:none,t:lowercase,deny,log,auditlog,status:404,msg:'Request Indicates a Security Scanner Scanned the Site',id:'990901',tag:'AUTOMATION/SECURITY_SCANNER',severity:'2'"
  7. SecRule REQUEST_FILENAME "^/nessustest" \
  8. "phase:2,t:none,t:lowercase,deny,log,auditlog,status:404,msg:'Request Indicates a Security Scanner Scanned the Site',id:'990902',tag:'AUTOMATION/SECURITY_SCANNER',severity:'2'"

Bloquer les requêtes zarb :

SecRule REQUEST_LINE « !(^((?:(?:pos|ge)t|head))|http/(0\.9|1\.0|1\.1)$) » \
  1. "t:none,t:lowercase,msg:'Un imbécile qui connait pas le http'"

Bloquer les accès direct à l’ip du serveur : (cas courant de scan)

SecRule REQUEST_HEADERS:Host « ^[\d\.]+$ » \
  1. "log,deny,status:404,t:lowercase,msg:'Connexion direct a l\'ip du serveur'"

Protection contre des fuites lors  d’erreurs mysql : (qui pourrait permettre à des petits malin de connaître les tables utilisées, …)

SecRule RESPONSE_BODY « (?:\b(?:(?:s(?:elect list because it is not contained in (?:an aggregate function and there is no|either an aggregate function or the) GROUP BY clause|upplied argument is not a valid (?:(?:M(?:S |y)|Postgre)SQL|O(?:racle|DBC)))|S(?:yntax error converting the \w+ value .*? to a column of data type|QL Server does not exist or access denied)|Either BOF or EOF is True, or the current record has been deleted(?:; the operation|\. Requested)|The column prefix .{0,50}? does not match with a table name or alias name used in the query|Could not find server '\w+' in sysservers\. execute sp_addlinkedserver)\b|Un(?:closed quotation mark before the character string\b|able to connect to PostgreSQL server:)|(?:Microsoft OLE DB Provider for .{0,30} [eE]rror |error '800a01b8)'|(?:Warning: mysql_connect\(\)|PostgreSQL query failed):|You have an error in your SQL syntax(?: near '|;)|cannot take a \w+ data type as an argument\.|incorrect syntax near (?:\'|the\b|@@error\b)|microsoft jet database engine error '8|ORA-\d{5}: )|\[Microsoft\]\[ODBC ) » \
  1. "phase:4,t:none,ctl:auditLogParts=+E,deny,log,auditlog,status:500,msg:'SQL Information Leakage',id:'970003',tag:'LEAKAGE/ERRORS',severity:'4'"

Protection contre des fuites concernant des erreurs php ou un affichage de code php (source code disclosure comme on dit :p) :

SecRule RESPONSE_BODY « <b>Warning<\/b>.{0,100}?:.{0,1000}?\bon line\b » \
  1. "phase:4,t:none,ctl:auditLogParts=+E,deny,log,auditlog,status:500,msg:'PHP Information Leakage',id:'970009',tag:'LEAKAGE/ERRORS',severity:'4'"
  2. SecRule RESPONSE_BODY "(?:\b(?:f(?:tp_(?:nb_)?f?(?:ge|pu)t|get(?:s?s|c)|scanf|write|open|read)|gz(?:(?:encod|writ)e|compress|open|read)|s(?:ession_start|candir)|read(?:(?:gz)?file|dir)|move_uploaded_file|(?:proc_|bz)open)|\$_(?:(?:pos|ge)t|session))\b" \
  3. "phase:4,t:none,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',id:'970015',tag:'LEAKAGE/SOURCE_CODE',severity:'4'"
  4. SecRule RESPONSE_BODY "&lt;\?(?!xml)" \
  5. "phase:4,chain,t:none,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',id:'970902',tag:'LEAKAGE/SOURCE_CODE',severity:'4'"
  6. SecRule RESPONSE_BODY "!(?:\b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)\b|r(?:iff\b|ar!B)|gif)|B(?:%pdf|\.ra)\b)" "t:none"

Protection contre les XSS :

SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES|REQUEST_HEADERS|XML:/*|!REQUEST_HEADERS:Referer « @pm jscript onsubmit copyparentfolder javascript meta onmove onkeydown onchange onkeyup activexobject expression onmouseup ecmascript onmouseover vbscript: <![cdata[ http: settimeout onabort shell: .innerhtml onmousedown onkeypress asfunction: onclick .fromcharcode background-image: .cookie ondragdrop onblur x-javascript mocha: onfocus javascript: getparentfolder lowsrc onresize @import alert onselect script onmouseout onmousemove background application .execscript livescript: getspecialfolder vbscript iframe .addimport onunload createtextrange onload <input » \
  1. "phase:2,t:none,t:urlDecodeUni,t:htmlEntityDecode,t:compressWhiteSpace,t:lowercase,pass,nolog,skip:1"
  2. SecAction phase:2,pass,nolog,skipAfter:959004
  3. SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES "(?:\b(?:(?:type\b\W*?\b(?:text\b\W*?\b(?:j(?:ava)?|ecma|vb)|application\b\W*?\bx-(?:java|vb))script|c(?:opyparentfolder|reatetextrange)|get(?:special|parent)folder|iframe\b.{0,100}?\bsrc)\b|on(?:(?:mo(?:use(?:o(?:ver|ut)|down|move|up)|ve)|key(?:press|down|up)|c(?:hange|lick)|s(?:elec|ubmi)t|(?:un)?load|dragdrop|resize|focus|blur)\b\W*?=|abort\b)|(?:l(?:owsrc\b\W*?\b(?:(?:java|vb)script|shell|http)|ivescript)|(?:href|url)\b\W*?\b(?:(?:java|vb)script|shell)|background-image|mocha):|s(?:(?:tyle\b\W*=.*\bexpression\b\W*|ettimeout\b\W*?)\(|rc\b\W*?\b(?:(?:java|vb)script|shell|http):)|a(?:ctivexobject\b|lert\b\W*?\(|sfunction:))|&lt;(?:(?:body\b.*?\b(?:backgroun|onloa)d|input\b.*?\btype\b\W*?\bimage)\b| ?(?:(?:script|meta)\b|iframe)|!\[cdata\[)|(?:\.(?:(?:execscrip|addimpor)t|(?:fromcharcod|cooki)e|innerhtml)|\@import)\b)" \
  4. "phase:2,capture,t:none,t:htmlEntityDecode,t:compressWhiteSpace,t:lowercase,ctl:auditLogParts=+E,log,auditlog,msg:'Cross-site Scripting (XSS) Attack',id:'950004',tag:'WEB_ATTACK/XSS',logdata:'%{TX.0}',severity:'2'"
  5. SecRule REQUEST_HEADERS|XML:/*|!REQUEST_HEADERS:Referer "(?:\b(?:(?:type\b\W*?\b(?:text\b\W*?\b(?:j(?:ava)?|ecma|vb)|application\b\W*?\bx-(?:java|vb))script|c(?:opyparentfolder|reatetextrange)|get(?:special|parent)folder|iframe\b.{0,100}?\bsrc)\b|on(?:(?:mo(?:use(?:o(?:ver|ut)|down|move|up)|ve)|key(?:press|down|up)|c(?:hange|lick)|s(?:elec|ubmi)t|(?:un)?load|dragdrop|resize|focus|blur)\b\W*?=|abort\b)|(?:l(?:owsrc\b\W*?\b(?:(?:java|vb)script|shell|http)|ivescript)|(?:href|url)\b\W*?\b(?:(?:java|vb)script|shell)|background-image|mocha):|s(?:(?:tyle\b\W*=.*\bexpression\b\W*|ettimeout\b\W*?)\(|rc\b\W*?\b(?:(?:java|vb)script|shell|http):)|a(?:ctivexobject\b|lert\b\W*?\(|sfunction:))|&lt;(?:(?:body\b.*?\b(?:backgroun|onloa)d|input\b.*?\btype\b\W*?\bimage)\b| ?(?:(?:script|meta)\b|iframe)|!\[cdata\[)|(?:\.(?:(?:execscrip|addimpor)t|(?:fromcharcod|cooki)e|innerhtml)|\@import)\b)" \
  6. "phase:2,capture,t:none,t:urlDecodeUni,t:htmlEntityDecode,t:compressWhiteSpace,t:lowercase,ctl:auditLogParts=+E,log,auditlog,msg:'Cross-site Scripting (XSS) Attack',id:'959004',tag:'WEB_ATTACK/XSS',logdata:'%{TX.0}',severity:'2'"

Et les petits trucs que nous permettent de faire la version 2.5.7 :
(protection contre les bruteforces, il faudra bien sûr changer ARGS:login en fonction de vos champs d’authentification).

SecAction initcol:ip=%{REMOTE_ADDR},nolog
  1. SecRule ARGS:login "!^$" \
  2. nolog,phase:1,setvar:ip.auth_attempt=+1,deprecatevar:ip.auth_attempt=20/120
  3. SecRule IP:AUTH_ATTEMPT "@gt 25" \
  4. log,drop,phase:1,msg:'Possible Brute Force Attack"

Une fois que vous avez terminé votre fichier de configuration, n’oubliez pas le /etc/init.d/apache2 restart
Sinon, comme dit, ce ne sont que des exemples, … la doc est très complète : http://www.modsecurity.org/documentation/

Articles similaires :

Copyright © 2008-2011 - Gaetan Grigis - blog.gaetan-grigis.eu ]]> http://blog.gaetan-grigis.eu/systeme/administration-de-serveurs-apache-modsecurity2/feed/ 1