|
Blokowanie exploitów przy pomocy .htaccess |
|
|
|
Napisał: Marek Dylewicz
|
|
poniedziałek, 14 sierpień 2006 |
Obserwowane ostatnio ataki na serwisy Mambo/Joomla wykorzystujące
dziurawe komponenty nasiliły się na tyle, że poza aktualizacją tychże
komponentów zaczęto szukać i innych rozwiązań mogących przyczynić się
do poprawy bezpieczeństwa serwisu.
Jednym z takich działań jest dopisanie do pliku .htaccess odpowiednich
nazwijmy to blokad, uniemożliwiających wykonanie działań najcześciej
stosowanych przy ostatnich exploitach. Oto kod, jaki należy dopisać do
używanego w serwisie pliku .htaccess
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
Powyższy kod jest próbą zapobiegania niektórym atakom i nie jest
doskonały - nie wolno również zapominać, że nie jest to złoty środek dzięki
któremu nie trzeba już aktualizować składników serwisu.
Więcej informacji na ten temat znajdziecie na tym forum.
Część druga tego artykułu mówi o lekkim uprzykrzeniu życia tzw. script-kiddies.
Otóż sprawa ma sie tak, że atakowane serwisy Mambo/Joomla są później
weryfikowane przez roboty sieciowe serwisu zone-h w celu sprawdzenia
czy atak się powiódł. Za każdy potwierdzony przez te roboty atak hacker
otrzymuje punkt. Aby tych pubnktów nie przyznano, a co za tym idzie
była mała szansa na to, że serwisy Mambo/Joomla staną się mniej
atrakcyjne do hackowania - dopiszmy w pliku .htaccess kilka linijek
blokujących roboty sprawdzające przeprowadzenie ataków.
Oto kod do dopisania:
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# zone h
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Może to nie jest stricte obrona, ale jak hakerzy przestaną dostawać
punkty za ataki na Mambo/Joomla - może i przestaną atakować serwisy
oparte na tych CMSach :)
|
Artykuły 