|
Blokowanie exploitów przy pomocy .htaccess |
|
|
|
Napisał Dylek
|
|
14 Sie 2006, 08:24 |
Obserwowane ostatnio ataki na serwisy Mambo/Joomla wykorzystujące dziurawe komponenty nasiliły się na tyle, że poza aktualizacją tychże komponentów zaczęto szukać i innych rozwiązań mogących przyczynić się do poprawy bezpieczeństwa serwisu.
Jednym z takich działań jest dopisanie do pliku .htaccess odpowiednich nazwijmy to blokad, uniemożliwiających wykonanie działań najcześciej stosowanych przy ostatnich exploitach. Oto kod, jaki należy dopisać do używanego w serwisie pliku .htaccess:
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
Powyższy kod jest próbą zapobiegania niektórym atakom i nie jest doskonały - nie wolno również zapominać, że nie jest to złoty środek dzięki któremu nie trzeba już aktualizować składników serwisu.
Więcej informacji na ten temat znajdziecie na tym forum.
Część druga tego artykułu mówi o lekkim uprzykrzeniu życia tzw. script-kiddies.
Otóż sprawa ma sie tak, że atakowane serwisy Mambo/Joomla są później weryfikowane przez roboty sieciowe serwisu zone-h w celu sprawdzenia czy atak się powiódł. Za każdy potwierdzony przez te roboty atak hacker otrzymuje punkt. Aby tych pubnktów nie przyznano, a co za tym idzie była mała szansa na to, że serwisy Mambo/Joomla staną się mniej atrakcyjne do hackowania - dopiszmy w pliku .htaccess kilka linijek blokujących roboty sprawdzające przeprowadzenie ataków.
Oto kod do dopisania:
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# zone h
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Może to nie jest stricte obrona, ale jak hakerzy przestaną dostawać punkty za ataki na Mambo/Joomla - może i przestaną atakować serwisy oparte na tych CMSach :)
|
|
Last Updated ( 16 Sie 2006, 23:11 )
|
Artykuły 
