보안 문제로 한동안 지원하지 않았던 .htaccess파일을 다시 지원할지 여부를 묻는 글이 올라왔습니다.

편의성을 높이고 보안성을 약간 희생한것이라 볼 수 있는데 다시 논의가 되는것을 보니 해당 기능을 요구하는

사람들이 꽤 많았나봅니다.


We are seeking feedback from the community on the idea of re-enabling Apache.htaccess support for
ModSecurity. 

https://www.modsecurity.org/tracker/browse/MODSEC-58

This functionality existed in the v1 branch of ModSecurity -

http://modsecurity.org/documentation/modsecurity-apache/1.9.3/html-multipage/03-configuration.html#N1027D

It was removed due to valid security concerns, namely that attackers could easily  bypass the ModSecurity
protections if they could just upload a .htaccess file with – SecFilterEngine Off in it While the security concerns
are valid, we also realize that there are many, many Hosting Providers  who are using old ModSecurity v1
strictly because they need this capability to allow their customers to use  .htaccess files for adding exceptions.
Without this feature, end users are flooding the Help Desk/Support  forums with requests to add exceptions for
ModSecurity rules for their sites.

So, we are considering adding support for this feature back into ModSecurity v2.7.x. 
It will NOT be enabled by default and would require the user to use a new --enable-htaccess-config configure
flag and re-compiling.  Users would have to understand the tradeoffs with regards to security and allowing
distributed configurtions in a multi-user environment.  
......


원본글은 아래 링크에서 보실 수 있습니다..

http://article.gmane.org/gmane.comp.apache.mod-security.user/10024


'Security' 카테고리의 다른 글

SecuritySpace News - April  (0) 2013.04.27
SecuritySpace News  (0) 2013.04.10
ModSecurity - Re-Enabling htaccess Support  (0) 2013.02.23
XE 1.5.3.4 보안 패치 배포  (2) 2012.11.22
XE 1.5.2.6 보안패치  (2) 2012.06.26
1.5.2.5 배포(보안패치 포함)  (0) 2012.05.14


제목처럼 modsecurity가 IIS를 지원하기 시작했네요.

http://blog.spiderlabs.com/2012/07/announcing-the-availability-of-modsecurity-extension-for-iis.html

설치 및 관련 정보는 위 링크를 참고하시고.. Nginx용도 한창 개발 중으로 보입니다.

현재는 실험적인 테스트 버전으로 배포를 하고 있는것 같습니다. 해당 버전이 필요하다면 아래 링크를

방문해 보시면 도움이 될것 같습니다.

http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/experimental/2.7-iis-nginx/


관련링크 :

http://www.modsecurity.org

http://blog.spiderlabs.com/modsecurity/

http://marc.info/?l=mod-security-users

http://sourceforge.net/projects/mod-security/

'News' 카테고리의 다른 글

Samba 3.6.9 Release  (0) 2012.11.06
XE 1.5.3.2 배포  (1) 2012.09.17
ModSecurity extension for IIS  (0) 2012.09.04
CentOS 6.3 Release  (0) 2012.07.11
Samba 3.5.16 Release  (0) 2012.07.04
XE 1.5.2 배포  (3) 2012.03.22


출처 : https://purehacking.com/portal/index.php?q=node/26

원제 : Virus Detection in ModSecurity


modsecurity & clamav를 이용한 업로드파일 검사를 이전에 포스팅 했었는데 이번엔 lua 스크립트를 이용한 방법을

소개합니다. 위에서 소개한 방법에서 perl 스크립트에서 lua 스크립트를 이용하고 apachesecurity.net에서 제공하는

blacklist를 이용, 바이러스를 업로드한 ip를 blacklist 처리하는 방식의 동작을 하게됩니다.


lua 스크립트를 이용하기 위한 modsecurity rule

  1. SecRule FILES_TMPNAMES "@inspectFile /opt/modsecurity/bin/modsec-clamscan.lua" 
  2. "phase:2,t:none,log,deny"


적용전 확인해야 될 사항

1. clamscan이 아닌 clamdscan을 이용함 ( clamdscan을 이용하면 이미 떠 있는 clamd 데몬에 접근을 하게 되어 매번

바이러스 검사시에 생길 수 있는 필요없는 부하를 줄일 수 있습니다)

2. clamav유저를 apache (웹서버) 그룹에 포함 시킴

3. SecUploadFileMode direction을 0640으로 설정해 그룹이 접근 가능하게 함

4. blacklist를 이용해 해당 ip를 일정시간 차단함


lua 스크립트의 내용은 아래와 같습니다.

  1. --[[
  2.   This script can be used to inspect uploaded files for viruses
  3.   via ClamAV. To implement, use with the following ModSecurity rule:

  4.   SecRule FILES_TMPNAMES "@inspectFile /opt/modsecurity/bin/modsec-clamscan.lua" 
  5. "phase:2,t:none,log,deny"

  6.   Author: Josh Amishav-Zlatin
  7.   Requires the clamav-daemon and liblua5.1-rex-pcre0 Debian packages (or other
  8.   OS equivalent)
  9. ]]--
  10.  
  11. function main(filename)
  12.   local rex = require "rex_pcre"
  13.   local remote_addr = m.getvar("REMOTE_ADDR"); -- Retrieve remote IP address
  14.  
  15.   -- Configure paths
  16.   local clamscan  = "/usr/bin/clamdscan"
  17.   local blacklist = "/opt/modsecurity/bin/blacklist"
  18.   local duration  = "3600"
  19.  
  20.   -- The system command we want to call
  21.   local cmd = clamscan .. " --stdout --disable-summary"
  22.  
  23.   -- Run the command and get the output
  24.   local f = io.popen(cmd .. " " .. filename)
  25.   local l = f:read("*a")
  26.   m.log(9, l)
  27.  
  28.   -- Check the output for the FOUND or ERROR strings which indicate
  29.   -- an issue we want to block access on
  30.   local isVuln = rex.match(l, "FOUND")
  31.   local isError = rex.match(l, "ERROR")
  32.  
  33.   if isVuln ~= nil then
  34.     local b = io.popen(blacklist .. " block " .. remote_addr .. " " ..  duration)
  35.     return "Virus Detected"
  36.   elseif isError ~= nil then 
  37.     return "Error Detected"
  38.   else
  39.     return nil
  40.   end
  41. end
  42.  

lua 스크립트를 불러오는 rule은 적절히 수정해 사용하시면 되겠습니다. 당연한 얘기지만 좀더 정확한 이해와 적용을

위해서는 원문을 꼭 읽어보시기를 권합니다.


기존의 perl 스크립트를 이용한 modsecurity & clamav를 이용한 업로드파일 검사와 어떤 차이점이 있는지

시간나는대로 테스트 해보고 결과(?)를 알려드리겠습니다 :)


오랜만에(?) modsecurity가 새로 릴리즈 됐습니다.

변경점은 아래 내용을 참고하세요.


 * Cleaned up some mlogc code and debugging output.
 * Remove the ability to use a relative path to a piped audit logger (i.e. mlogc) as Apache does not support it in

   their piped loggers and it was breaking Windows and probably other platforms that use spaces in filesystem paths.

   Discovered by Tom Donovan.

 * Fix memory leak freeing regex.  Discovered by Tom Donovan.
 * Fix some portability issues on Windows.
 * Fixed Geo lookup concurrent connections bug
 * Fixed Skip/SkipAfter chain bug
 * Added new setvar Lua API to be used into Lua scripts
 * Added PCRE messages indicates each rule that exceed match limits
 * Added new Base64 transformation function called base64DecodeEx, which can decode base64 data skipping

   special characters.

 * Add SecReadStateLimit to limit the number of concurrent threads in BUSY connections per ip address
 * Fixed redirect action was not expanding macros in chained rules


관련링크 :

http://modsecurity.org/

https://sourceforge.net/projects/mod-security/files/modsecurity-apache/2.5.13/CHANGES_2.5.13.txt/download


다운로드 :

http://www.modsecurity.org/download/modsecurity-apache_2.5.13.tar.gz

'News' 카테고리의 다른 글

ProFTPD 1.3.4rc1, 1.3.3d release  (0) 2010.12.26
ProFTPD 1.3.3c Release  (0) 2010.12.02
ModSecurity 2.5.13 release  (0) 2010.12.01
XE 1.4.4.2 배포  (0) 2010.12.01
Rootkit Hunter release 1.3.8  (0) 2010.11.17
Android bugs let attackers install malware without warning  (0) 2010.11.13

Trustwave Acquires Breach Security and with it ModSecurity.

Trustwave가 ModSecurity를 인수(?)했단 Breach Security를 인수했다고 합니다. 규모도 훨씬 크고

개발 인력도 충분해 보인다는 얘기들이 많이 나오고 있습니다.


아래는 핵심적인 내용이 담긴 대화내용입니다.

Breach Security의 Brian Rectanus의 답변에 따르면 ModSecurity가 더 발전할 가능성이 높아졌다고

볼 수 있겠습니다 :)

> For those of you who do not already know, Trustwave has acquired Breach
> Security.  With this acquisition Trustwave has also acquired  ModSecurity.
> Congratulation! What does that mean for future CRS and ModSecurity development?


It means the support of a much bigger company behind ModSecurity. I'd love this to be able to expand the

community, get ModSecurity into more places and allow more research and development of some

long-desired features. It will take some time to get things moving, though.


관련 링크:

http://www.breach.com/
https://www.trustwave.com/pressReleases.php?n=062210

'News' 카테고리의 다른 글

XE Core 1.4.4 배포  (1) 2010.09.28
XE Core 1.4.3 배포  (1) 2010.07.07
Trustwave Acquires Breach Security and with it ModSecurity  (0) 2010.06.27
Samba 3.3.13 Security Release  (0) 2010.06.17
CentOS 5.5 Release  (0) 2010.05.16
XE Core 1.4.1.0 배포  (3) 2010.05.02

+ Recent posts