[RISOLTO] Problema Script Perl e Htaccess

[deodio83]

Salve
è da un paio di settimane che uno script credo perl cerca exploit che nel sito che sto manutenendo non sono presenti.
Comunque questo script genera logs in apache, vorrei cercare di bloccare le richieste di questo tipo di script ma a quanto pare bloccando libwww-perl non ottengo risultati.


Vi riporto la stringa che leggo nel file di log di apache
[Fri Mar 28 03:14:52 2014] [error] - www.########.it - [client 5.187.4.42] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.########.it"] [uri "/components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "UzTbHNlJ7xYAAEY5ugoAAAFi"]

Potreste aiutarmi?

Grazie

[mmleoni]

eh eh, hai cancellato il nome del sito ma non il link! ciao discoxxx.it 


direi di non preoccupartene più di tanto, comunque come è che stai cercando di bloccarlo?


ciao,
marco

[deodio83]

Ho gia messo un blocco sulla richiesta diretta di file php ini e altro al di la del file index.php ma vorrei bloccarlo perchè se un giorno dovessi mettere un componente / plugin con una vulnerabilità non vorrei avere brutte sorprese.


Hai modo di aiutarmi ?

[mmleoni]

non so che cosa tu stia facendo ma non mi pare una cosa corretta: i file ini possono essere usati da processi anche lato web e index.php potrebbe non essere l'entry point di ogni processo.


tieni presente che chi non è proprio cane cambia almeno lo user agent dello script, comunque avevo chiesto: come è che stai bloccando libwww-perl?

[deodio83]

Se blocco la richiesta diretta di file .ini e .xml e .php diretta dal browser significa che direttamente dall'url non si può richiedere questi determinati tipi di file al di la del file index.php ma attenzione non di tutte le directory ma solo delle directory protette... le solite di joomla ...


Sto bloccando gli user agent in perl perchè sono quelli che cercando exploit e simili...


tutto qua

[mmleoni]

se io continuo a chiedere come e tu continui a rispondere perché, allora no, non ho modo di aiutarti.


vediamo se lo sa fare qualcun altro.


ciao

[deodio83]

Lo blocco attraverso il file htaccess



SetEnvIfNoCase User-Agent .*libwww-perl.* bad_bot
Disallow: /
Order Deny,Allow
Deny from env=bad_bot


ma non sembra aver avuto un buon esito dato che il programma continua ad esplorare il mio sito...

[mmleoni]

io farei:



RewriteCond  %{HTTP_USER_AGENT} ^libwww-perl [NC]
RewriteRule .* - [L,F]


subito dopo RewriteEngine On. il ^ (inizia con) vedi tu se lasciarlo o meno.


ciao

[deodio83]

il problema che non so se effettivamente lo user agent è libwww-perl perchè ho messo

[/size][size=78%]SetEnvIfNoCase User-Agent .*libwww-perl.* bad_bot[/size]
Disallow: /
Order Deny,Allow[/size][size=78%]Deny from env=bad_bot[/size]




e Passa lo stesso....

[mmleoni]

quello che ho scritto io sono sicuro che funzioni, quello che hai scritto tu non lo so.


che ci sia nel log del webserver non implica comunque che arrivi all'application server: questo è da tenere presente.

[deodio83]

Quindi con la parte scritta da te sicuramente posso bloccare questi che cercano nel mio sito componenti che fra l'altro non ho

[deodio83]

Perdonami ma quando indico
RewriteRule .* - [L,F]


che effetto ha sul mio server ?

[deodio83]

NULLA ...

[Mon Mar 31 16:39:27 2014] [error] - www.##.it  - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/index.php"] [unique_id "Uzl@H9lJ7xYAADPJkmEAAAEf"]

[Mon Mar 31 16:39:27 2014] [error] - www.##.it - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "Uzl@H9lJ7xYAADPJkl8AAAED"]

[Mon Mar 31 16:39:26 2014] [error] - www.##.it  - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "Uzl@HtlJ7xYAAHiM-kwAAAAZ"]

anche utilizzando la tua regola continua a scansionare il sito ...

[mmleoni]

Quindi con la parte scritta da te sicuramente posso bloccare questi...

sì. se usano lo user agent indicato

RewriteRule .* - [L,F]
che effetto ha sul mio server ?

da usare assieme a rewritecond, restituisce un http status 403 per qualsiasi richiesta

anche utilizzando la tua regola continua a scansionare il sito ...

come ho detto nel post sopra, al sito non arrivano ma nell'access log le trovi comunque, se hai un minimo di conoscenza sistemistica la motivazione è evidente (htaccess è apache). se non le vuoi nel log devi ricorrere ad un firewall spi prima del webserver.


ciao,
marco

[deodio83]

Perciò le vedo nel log ma sul sito non ci arrivano ?

[mmleoni]

esatto. se vuoi controllare scaricati uno 'user agent switcher' per il tuo brower divertiti.


ciao,
marco

[deodio83]

Ok grazie tante.


In generale vorrei che questi explorer e simili non visitino il sito in cerca di vulnerabilità (che fra l'altro ho controllato ed eventualmente eliminato).


La cosa che non capisco come mai insistono sempre ...non è che le installo per farli entrare

[mmleoni]

sono script automatizzati, sparano nel mucchio nella speranza di trovare qualcosa.


ps: un [risolto] nel titolo del post di apertura (il primo) aiuta anche gli altri.


ciao

[deodio83]

Scusami se ti chiedo ancora una cosa...
vorrei sapere se il mio file htaccess lato cache e simili secondo te va bene

<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "access plus 1 week"
 
  <FilesMatch "\.(gif|jpg|jpeg|png|swf)$">
  Header set Cache-Control "public, must-revalidate"
  </FilesMatch>
 
  #NEVER CACHE
  <FilesMatch "\.(html|htm|php|cgi|pl)$">
  Header set Cache-Control "max-age=0, private, no-store, no-cache, must-revalidate"
  </FilesMatch>
   
  AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css application/javascript application/x-javascript  application/rss+xml application/atom_xml text/javascript
  Header unset ETag
</IfModule>

[green12]

da qualche settimana sto utilizzando il componente redirect di joomla 2.5 ed ho notato che ci sono decine di richieste a components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php preceduto da altrettante dir diverse. Pensavo che qualcuno tentasse di raggiungere il componente (non uso ozio nel sito)  a tentativi ma, grazie alla vs spiegazione, credo di capire che sia una specie di spider che ricerca in automatico il file in questione.
Sarebbe possibile non permettere la scansione del sito attraverso un User-agent: libwww Disallow: / nel file robots.txt?
forse ho detto una sciocchezza ma, esaminando i file robots.txt di siti autorevoli, ho trovato una lista molto lunga di User-agent: blabla Disallow: / o forse il comando serve ad altro?Scusate se chiedo in un post già risolto ma non mi sembrava il caso di aprirne uno nuovo, grazie