출처 : http://www.krcert.or.kr/

krcert에서 modsecurity 2.x 용 rule파일도 배포하고 있네요. 1.x대 rule만 제공하다가 1.x, 2.x대를 함께 제공하더군요.
설정파일을 열어보니 gotroot rule과 이전에 사용하던 rule그리고 modsecurity core rule을 섞어(?)
놓은것 처럼 보이더군요. Array

rule파일을 열어보면 아래와 같이 Googlebot-Image를 스팸봇으로 규정(?)해놓았는데 좀더 정확하게 googlebot의 ip range가
아니고 googlebot의 User-agent(이하 UA)이름을 달고 올때 차단하는것이 좋아보입니다.
# 7. 스패머 프로그램 봇
SecRule REQUEST_HEADERS:User-agent "Googlebot-Image" "msg:'Robot attack'"

위의 rule은 아래처럼 바꿀수 있습니다.
SecRule REQUEST_HEADERS:User-agent "Googlebot-Image" " chain,msg:'Robot attack'"
SecRule REMOTE_ADDR "!^66.249.[6-9][0-9]."
#googlebot 의 ip가 아니고 UA를 Googlebot-Image라고 밝히는 경우

#기타 여러 검색엔진의 경우도 마찬가지로 설정할수가 있습니다.
googlebot의 ip range는 아래링크를 참고하세요.
http://www.iplists.com/google.txt


그리고 또한 아래 설정처럼 여러개의 UA를 나열할 경우 하나의 rule로 설정해 처리속도를 높이는 것도 좋은방법입니다.
SecRule REQUEST_HEADERS:User-agent "WebZIP" "msg:'Robot attack'"
SecRule REQUEST_HEADERS:User-agent "Teleport" "msg:'Robot attack'"
SecRule REQUEST_HEADERS:User-agent "GetRight" "msg:'Robot attack'"
SecRule REQUEST_HEADERS:User-agent "FlashGet" "msg:'Robot attack'"

#위의 4개 설정을 하나로 통합
SecRule REQUEST_HEADERS:User-agent "WebZIP|Teleport|GetRight|FlashGet" "msg:'Robot attack'"

krcert rule에 대한 태클(?)을 건것 처럼 보이기도 하는데 아주 유용한 설정들이 포함되어 있으니 참고하시면
큰 도움이 될것으로 보입니다. Array


첨부파일은 krcert에서 배포하는 modsecurity 1.x, 2.x용 rule파일과 modsecurity관련 pdf문서 입니다.

securenet에서 modsecurity에 관한 자료와 관련 문의를 할 수 있는 게시판도 제공하고 있습니다.
http://www.securenet.or.kr/main.jsp?menuSeq=496

'Modsecurity' 카테고리의 다른 글

ModSecurity와 iptables를 이용한 ip 차단  (1) 2009.04.28
Modsecurity Evaluation of Rulesets - Modsecurity 룰셋 평가  (0) 2009.03.22
modsecurity를 이용한 apache의 chroot 운영  (0) 2008.11.11
modsecurity - SecRuleRemoveById  (0) 2008.07.09
modsecurity & clamav를 이용한 업로드파일 검사  (11) 2008.05.26

+ Recent posts

티스토리툴바