Joomla.it Forum

Non solo Joomla... => Sicurezza => : deodio83 31 Mar 2014, 11:23:52

: [RISOLTO] Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 11:23:52

Salve
è da un paio di settimane che uno script credo perl cerca exploit che nel sito che sto manutenendo non sono presenti.
Comunque questo script genera logs in apache, vorrei cercare di bloccare le richieste di questo tipo di script ma a quanto pare bloccando libwww-perl non ottengo risultati.


Vi riporto la stringa che leggo nel file di log di apache
[Fri Mar 28 03:14:52 2014] [error] - www.########.it - [client 5.187.4.42] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.########.it"] [uri "/components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "UzTbHNlJ7xYAAEY5ugoAAAFi"]

Potreste aiutarmi?

Grazie

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 12:18:37

eh eh, hai cancellato il nome del sito ma non il link! ciao discoxxx.it  ;D


direi di non preoccupartene più di tanto, comunque come è che stai cercando di bloccarlo?


ciao,
marco

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 12:21:33

Ho gia messo un blocco sulla richiesta diretta di file php ini e altro al di la del file index.php ma vorrei bloccarlo perchè se un giorno dovessi mettere un componente / plugin con una vulnerabilità non vorrei avere brutte sorprese.


Hai modo di aiutarmi ?

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 12:42:46

non so che cosa tu stia facendo ma non mi pare una cosa corretta: i file ini possono essere usati da processi anche lato web e index.php potrebbe non essere l'entry point di ogni processo.


tieni presente che chi non è proprio cane cambia almeno lo user agent dello script, comunque avevo chiesto: come è che stai bloccando libwww-perl?

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 12:58:07

Se blocco la richiesta diretta di file .ini e .xml e .php diretta dal browser significa che direttamente dall'url non si può richiedere questi determinati tipi di file al di la del file index.php ma attenzione non di tutte le directory ma solo delle directory protette... le solite di joomla ...


Sto bloccando gli user agent in perl perchè sono quelli che cercando exploit e simili...


tutto qua :D

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 13:59:32

se io continuo a chiedere come e tu continui a rispondere perché, allora no, non ho modo di aiutarti.


vediamo se lo sa fare qualcun altro.


ciao

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 14:09:08

Lo blocco attraverso il file htaccess



SetEnvIfNoCase User-Agent .*libwww-perl.* bad_bot
Disallow: /
Order Deny,Allow
Deny from env=bad_bot


ma non sembra aver avuto un buon esito dato che il programma continua ad esplorare il mio sito...

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 14:20:49

io farei:



RewriteCond  %{HTTP_USER_AGENT} ^libwww-perl [NC]
RewriteRule .* - [L,F]


subito dopo RewriteEngine On. il ^ (inizia con) vedi tu se lasciarlo o meno.


ciao

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 14:27:05

il problema che non so se effettivamente lo user agent è libwww-perl perchè ho messo

[/size][size=78%]SetEnvIfNoCase User-Agent .*libwww-perl.* bad_bot[/size]
Disallow: /
Order Deny,Allow[/size][size=78%]Deny from env=bad_bot[/size]




e Passa lo stesso....

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 14:45:07

quello che ho scritto io sono sicuro che funzioni, quello che hai scritto tu non lo so.


che ci sia nel log del webserver non implica comunque che arrivi all'application server: questo è da tenere presente.

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 14:47:10

Quindi con la parte scritta da te sicuramente posso bloccare questi che cercano nel mio sito componenti che fra l'altro non ho ???

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 16:08:18

Perdonami ma quando indico
RewriteRule .* - [L,F]


che effetto ha sul mio server ?

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 16:42:17

NULLA ... :(

[Mon Mar 31 16:39:27 2014] [error] - www.##.it  - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/index.php"] [unique_id "Uzl@H9lJ7xYAADPJkmEAAAEf"]

[Mon Mar 31 16:39:27 2014] [error] - www.##.it - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "Uzl@H9lJ7xYAADPJkl8AAAED"]

[Mon Mar 31 16:39:26 2014] [error] - www.##.it  - [client 185.25.184.245] ModSecurity: Warning. Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/etc/apache/modsecurity/modsecurity_crs_35_bad_robots.conf"] [line "31"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.##.it "] [uri "/components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php"] [unique_id "Uzl@HtlJ7xYAAHiM-kwAAAAZ"]

anche utilizzando la tua regola continua a scansionare il sito ...

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 17:32:00

: deodio83  31 Mar 2014, 14:47:10

Quindi con la parte scritta da te sicuramente posso bloccare questi...

sì. se usano lo user agent indicato

: deodio83  31 Mar 2014, 16:08:18

RewriteRule .* - [L,F]
che effetto ha sul mio server ?

da usare assieme a rewritecond, restituisce un http status 403 per qualsiasi richiesta

: deodio83  31 Mar 2014, 16:42:17

anche utilizzando la tua regola continua a scansionare il sito ...

come ho detto nel post sopra, al sito non arrivano ma nell'access log le trovi comunque, se hai un minimo di conoscenza sistemistica la motivazione è evidente (htaccess è apache). se non le vuoi nel log devi ricorrere ad un firewall spi prima del webserver.


ciao,
marco

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 17:33:31

Perciò le vedo nel log ma sul sito non ci arrivano ?
:D :D

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 17:51:50

esatto. se vuoi controllare scaricati uno 'user agent switcher' per il tuo brower divertiti.


ciao,
marco

: Re:Problema Script Perl e Htaccess
: deodio83 31 Mar 2014, 17:55:05

Ok grazie tante.


In generale vorrei che questi explorer e simili non visitino il sito in cerca di vulnerabilità (che fra l'altro ho controllato ed eventualmente eliminato).


La cosa che non capisco come mai insistono sempre ...non è che le installo per farli entrare :D

: Re:Problema Script Perl e Htaccess
: mmleoni 31 Mar 2014, 18:00:16

sono script automatizzati, sparano nel mucchio nella speranza di trovare qualcosa.


ps: un [risolto] nel titolo del post di apertura (il primo) aiuta anche gli altri.


ciao

: Re:[RISOLTO] Problema Script Perl e Htaccess
: deodio83 01 Apr 2014, 18:56:34

Scusami se ti chiedo ancora una cosa...
vorrei sapere se il mio file htaccess lato cache e simili secondo te va bene

<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "access plus 1 week"
 
  <FilesMatch "\.(gif|jpg|jpeg|png|swf)$">
  Header set Cache-Control "public, must-revalidate"
  </FilesMatch>
 
  #NEVER CACHE
  <FilesMatch "\.(html|htm|php|cgi|pl)$">
  Header set Cache-Control "max-age=0, private, no-store, no-cache, must-revalidate"
  </FilesMatch>
   
  AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css application/javascript application/x-javascript  application/rss+xml application/atom_xml text/javascript
  Header unset ETag
</IfModule>

: Re:[RISOLTO] Problema Script Perl e Htaccess
: green12 26 Apr 2014, 19:33:30

da qualche settimana sto utilizzando il componente redirect di joomla 2.5 ed ho notato che ci sono decine di richieste a components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php preceduto da altrettante dir diverse. Pensavo che qualcuno tentasse di raggiungere il componente (non uso ozio nel sito)  a tentativi ma, grazie alla vs spiegazione, credo di capire che sia una specie di spider che ricerca in automatico il file in questione.
Sarebbe possibile non permettere la scansione del sito attraverso un User-agent: libwww Disallow: / nel file robots.txt?
forse ho detto una sciocchezza ma, esaminando i file robots.txt di siti autorevoli, ho trovato una lista molto lunga di User-agent: blabla Disallow: / o forse il comando serve ad altro?Scusate se chiedo in un post già risolto ma non mi sembrava il caso di aprirne uno nuovo, grazie

: Re:[RISOLTO] Problema Script Perl e Htaccess
: mau_develop 26 Apr 2014, 20:47:10

Sarebbe possibile non permettere la scansione del sito attraverso ...
----------------------------------
no

: Re:[RISOLTO] Problema Script Perl e Htaccess
: tomtomeight 26 Apr 2014, 21:08:50

Il file robot.txt non è vincolante come il file. htaccess, diciamo che è convenzionale cioè dà delle indicazioni ai motori di ricerca su cosa e come considerare i contenuti. Potresti vietarli da .htaccess ma non sarebbero scansionabili e quindi navigabili da nessuno, eh già scansione e navigazione sono la stessa cosa, puoi mettere un testo in una pagina ove dici non aprire quella porta ma non puoi impedire che qualcuno la apre lo stesso.

: Re:[RISOLTO] Problema Script Perl e Htaccess
: green12 03 May 2014, 09:35:13

ho trovato questo rwrite da inserire nel file htaccess che serve, come descritto in seguito, ad evitare l'accesso a libwww-perl che è quello suggerito anche da mmleoni:

Your server appears to allow access from User-agent Libwww-perl.  Botnet scripts that automatically look for vulnerabilities in your software are sometimes identified as User-Agent libwww-perl. By blocking access from libwww-perl you can eliminate many simpler attacks. Read more on blocking Libwww-perl access (http://www.cyberciti.biz/tips/the-rise-of-bots-spammers-crack-attacks-and-libwww-perl.html) and improving your website's security (http://www.seositecheckup.com/articles/87).

:

RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* – [F,L]Il codice va inserito sotto la linea RewriteEngine On del file hataccess
provo a inserirlo e vedo che succede

: Re:[RISOLTO] Problema Script Perl e Htaccess
: mmleoni 03 May 2014, 14:59:51

la stessa cosa era scritta nella pagina precedende di questo thread: non è che ci fosse da andare in giro a cercare...


cortesemente non scrivete in topic chiusi, grazie.