প্রশ্ন HTTP w00tw00t আক্রমণের সাথে ডিলিং


আমার apache এর সাথে একটি সার্ভার আছে এবং আমি সম্প্রতি mod_security2 ইনস্টল করেছি কারণ আমি এই দ্বারা অনেক আক্রমণ করেছি:

আমার apache সংস্করণ apache v2.2.3 এবং আমি mod_security2.c ব্যবহার করি

এই ত্রুটি লগ থেকে এন্ট্রি ছিল:

[Wed Mar 24 02:35:41 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:31 2010] [error] 
[client 202.75.211.90] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:49 2010] [error]
[client 95.228.153.177] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:48:03 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Access_log থেকে ত্রুটি এখানে রয়েছে:

202.75.211.90 - - 
[29/Mar/2010:10:43:15 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-"
211.155.228.169 - - 
[29/Mar/2010:11:40:41 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-"
211.155.228.169 - - 
[29/Mar/2010:12:37:19 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-" 

আমি mod_security2 কনফিগার করার চেষ্টা করেছি এইভাবে:

SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind"
SecFilterSelective REQUEST_URI "\w00tw00t\.at\.ISC\.SANS"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:\)"

Mod_security2 এ জিনিসটি SecFilterSelective ব্যবহার করা যাবে না, এটি আমাকে ত্রুটি দেয়। পরিবর্তে আমি এই মত একটি নিয়ম ব্যবহার:

SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind"
SecRule REQUEST_URI "\w00tw00t\.at\.ISC\.SANS"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:\)"

এমনকি এই কাজ করে না। আমি আর কি করতে হবে তা জানি না. যে কেউ কোন পরামর্শ আছে?

আপডেট 1

আমি দেখেছি যে mod_security ব্যবহার করে কেউ এই সমস্যার সমাধান করতে পারে না। আইপি-টেবিল ব্যবহার করে এটি করার সর্বোত্তম বিকল্প বলে মনে হচ্ছে তবে আমি মনে করি ফাইলটি অত্যন্ত বড় হয়ে উঠবে কারণ আইপি সার্কেল বার পরিবর্তন করে।

আমি 2 অন্যান্য সমাধান নিয়ে এসেছি, কেউ ভাল হতে বা না থাকায় মন্তব্য করতে পারেন।

  1. আমার মাপে আসা প্রথম সমাধানটি আমার আপ্যাচি ত্রুটি লগগুলি থেকে এই আক্রমণগুলি বাদ দিচ্ছে। এটি আমার জন্য অন্যান্য জরুরি ত্রুটিগুলি স্পট করার জন্য আরও সহজ করে তুলবে এবং একটি লম্বা লগ খনন করতে হবে না।

  2. দ্বিতীয় বিকল্পটি আমি ভাল মনে করি এবং এটি হোস্টগুলিকে ব্লক করছে যা সঠিক পথে পাঠানো হয় না। এই উদাহরণে w00tw00t আক্রমণ হোস্টনাম ছাড়া পাঠানো হয়, তাই আমি মনে করি আমি সঠিক ফর্মগুলিতে হোস্টগুলি ব্লক করতে পারি না।

আপডেট 2

ট্রাফ উত্তর দেওয়ার পর আমি নিম্নলিখিত সিদ্ধান্তে এসে পৌঁছলাম।

  1. Apache এর জন্য কাস্টম লগিংয়ের জন্য কিছু অপ্রয়োজনীয় পুনরুদ্ধারের ব্যবহার করা হবে এবং যদি সত্যিই কোনও সমস্যা হয় তবে সম্ভবত আপনি কোনও অনুপস্থিতির ব্যপারে পুরো লগটি দেখতে চাইবেন।

  2. এটি হিটগুলি উপেক্ষা করা এবং আপনার ত্রুটি লগ বিশ্লেষণের আরও ভাল পদ্ধতিতে মনোযোগ দেওয়া ভাল। আপনার লগ জন্য ফিল্টার ব্যবহার করে এই জন্য একটি ভাল পদ্ধতি।

বিষয় উপর চূড়ান্ত চিন্তা

উপরে উল্লিখিত আক্রমণটি আপনার মেশিনে পৌঁছাবে না যদি অন্তত একটি আপ টু ডেট সিস্টেম থাকে তবে মূলত কোনও উদ্বেগ নেই।

কিছুক্ষণ পরে আসল বোগাস আক্রমণগুলি ফিল্টার করা কঠিন হতে পারে, কারণ ত্রুটির লগ এবং অ্যাক্সেস লগ উভয়ই অত্যন্ত বড় হয়ে যায়।

যেকোন উপায়ে ঘটতে এটিকে প্রতিরোধ করা আপনাকে সম্পদগুলি ব্যয় করবে এবং এটি একটি ভাল অভ্যাস যা আপনার সম্পদগুলি অপ্রয়োজনীয় সামগ্রীতে নষ্ট না করা।

আমি এখন ব্যবহার সমাধান লিনাক্স লগওয়াচ। এটি আমাকে লগগুলির সারাংশ পাঠায় এবং তারা ফিল্টার এবং গোষ্ঠীভুক্ত। এই ভাবে আপনি সহজেই গুরুত্বপূর্ণ থেকে গুরুত্বপূর্ণ পৃথক করতে পারেন।

সাহায্যের জন্য আপনাকে ধন্যবাদ, এবং আমি আশা করি এই পোস্টটি অন্য কারো পক্ষে সহায়ক হতে পারে।


80
2018-03-24 05:33


উত্স




উত্তর:


আপনার ত্রুটি লগ থেকে তারা হোস্ট ছাড়া একটি HTTP / 1.1 অনুরোধ পাঠাচ্ছে: অনুরোধের অংশ। আমি যা পড়ি তা থেকে, Apache mod_security এ হস্তান্তর করার আগে, এই অনুরোধে একটি 400 (খারাপ অনুরোধ) ত্রুটি সহ জবাব দেয়। সুতরাং, এটি আপনার নিয়ম প্রক্রিয়াকরণ করা হবে বলে মনে হচ্ছে না। (Mod_security এ হস্তান্তর প্রয়োজন আগে এটি সঙ্গে আচরণ Apache)

নিজেকে চেষ্টা করুন:

টেলনেট হোস্টনাম 80
Get /blahblahblah.html HTTP / 1.1 (প্রবেশ করান)
(Enter)

আপনি 400 ত্রুটি পেতে এবং আপনার লগ একই ত্রুটি দেখতে হবে। এটি একটি খারাপ অনুরোধ এবং apache সঠিক উত্তর দিচ্ছে।

সঠিক অনুরোধের মত চেহারা উচিত:

Get / BLahblahblah.html HTTP / 1.1
হোস্ট: blah.com

এই সমস্যাটির জন্য আশেপাশের একটি কাজ mod_unqueid প্যাচ করতে পারে, এমনকি একটি ব্যর্থ অনুরোধের জন্য এমনকি একটি অনন্য আইডি জেনারেট করার জন্য, apache তার অনুরোধ হ্যান্ডলারের অনুরোধটি পাস করে। নিচের URL টি এই কাজের সম্পর্কে একটি আলোচনা, এবং আপনি ব্যবহার করতে পারেন mod_unqueid এর জন্য একটি প্যাচ অন্তর্ভুক্ত করে:   http://marc.info/?l=mod-security-users&m=123300133603876&w=2

এটির জন্য অন্য কোনও সমাধান খুঁজে পাওয়া যায়নি এবং কোন সমাধান আসলেই প্রয়োজন কিনা তা অবাক করে দেয়।


34
2018-03-29 13:17



আমি এখন সমস্যা দেখতে। আপনি নিবন্ধে প্রদত্ত সমাধানটি সুপারিশ করেন, নাকি এটির মতো এটি ছেড়ে দেওয়ার জন্য আপনি এটি আরও ভাল মনে করেন। এটি সিস্টেমের যে কোনো ব্যাক-দরজাগুলির জন্য স্ক্যানার। আমি যদি শুধু স্ক্যানিং ছেড়ে যাই, আমি একদিন আক্রান্ত হতে পারি। - Saif Bechan
হ্যালো সাইফ, যতদিন আপনি আপনার ডিপোজিট ইনস্টলেশনের আপ টু ডেট আপনার ডিস্ট্রিবিউশন (বা ম্যানুয়াল) সুরক্ষা প্যাচগুলি দিয়ে যতক্ষণ মনে করেন ঠিক তেমনই ভাল লাগবে। একটি খারাপভাবে সুরক্ষিত HTTP / 1.1 অনুরোধ (যেমন আপনি দেখছেন) Apache থেকে 400 ত্রুটি ছাড়া অন্য কিছু ফেরত দিতে হবে না। এটা দেখে মনে হচ্ছে may DLink রাউটার এ দৃষ্টি নিবদ্ধ করা দুর্বলতা স্ক্যান কিছু ধরণের হয়েছে। (কিছু অন্যান্য উত্স অনুযায়ী) - Imo
আমার apache error_log থেকে এই ক্ষেত্রগুলি পেতে অন্তত একটি উপায় আছে - Saif Bechan
আপনি হতে পারে mod_log এর মাধ্যমে এটি করতে সক্ষম :: httpd.apache.org/docs/2.2/mod/mod_log_config.html#customlog - Imo
আমার অতিরিক্ত ইঙ্গিত হবে: আপনার কনফিগার করুন ডিফল্ট প্রকৃতপক্ষে ব্যবহার পরবর্তী আগত virtualhost। উপরে উল্লিখিত প্রচেষ্টা জন্য লগ শেষ হবে ডিফল্ট virtualhost। - Koos van den Hout


আইপি ফিল্টারিং একটি ভাল ধারণা নয়, আমি। কেন আপনি জানেন স্ট্রিং ফিল্টার করার চেষ্টা করবেন না?

আমি বোঝাতে চাই:

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

15
2018-05-09 16:21



spamcleaner.org/en/misc/w00tw00t.html অনুরূপ সমাধান, কিন্তু একটি বিট আরো বিস্তারিত। - Isaac
ফায়ারওয়ালে স্ট্রিং ফিল্টারিংয়ের একটি সমস্যা হল এটি "মোটামুটি ধীর"। - Alexis Wilke
@AlexisWilke আপনার কি প্রমাণ আছে যে iptables স্ট্রিং ফিল্টারিং apache স্তর এ ফিল্টারিংয়ের চেয়ে ধীর গতির? - jrwren


আইভিও আমার লগ ফাইলে এই ধরনের বার্তা দেখতে শুরু করেছে। এই ধরনের আক্রমণ প্রতিরোধ করার এক উপায় হল fail2ban (সেটআপ) http://www.fail2ban.org/ ) এবং আপনার iptables নিয়মগুলিতে এই আইপি ঠিকানা কালো তালিকা সেটআপ নির্দিষ্ট ফিল্টার।

এমন একটি ফিল্টারের উদাহরণ যা হ'ল সেই বার্তাগুলি তৈরি করার সাথে সম্পর্কিত আইপি ঠিকানাটি অবরোধ করবে

[মঙ্গলবার 16 আগস্ট 02:35:23 ২011] [ত্রুটি] [ক্লায়েন্ট] ফাইল বিদ্যমান নেই: /var/www/skraps/w00tw00t.at.blackhats.romanian.anti-sec :) === apache w00t w00t বার্তা জেল - regex এবং ফিল্টার === জেল

 [apache-wootwoot]
 enabled  = true
 filter   = apache-wootwoot
 action   = iptables[name=HTTP, port="80,443", protocol=tcp]
 logpath  = /var/log/apache2/error.log
 maxretry = 1
 bantime  = 864000
 findtime = 3600

ছাঁকনি

 # Fail2Ban configuration file
 #
 # Author: Jackie Craig Sparks
 #
 # $Revision: 728 $
 #
 [Definition]
 #Woot woot messages
 failregex = ^\[\w{1,3} \w{1,3} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2} \d{1,4}] \[error] \[client 195.140.144.30] File does not exist: \/.{1,20}\/(w00tw00t|wootwoot|WootWoot|WooTWooT).{1,250}
 ignoreregex =

11
2017-08-19 17:46



এটা সত্য যে আপনি তাদের অবরোধ করতে পারেন, কিন্তু এর জন্য কোন প্রয়োজন নেই কারণ এটি কেবল খারাপ অনুরোধ। শুধু তাদের উপেক্ষা করা ভাল, আপনাকে কাজ বাঁচানো এবং আপনি কিছু পুনরুদ্ধার মুক্ত করবেন। - Saif Bechan
@ সাইফ বেকন, যদি কেউ "টেস্টিং আক্রমণ" সফল হওয়ার বিষয়ে চিন্তিত হন, তাহলে তাকে বাধা দেওয়ার উপায় খুঁজে বের করার পরিবর্তে সময় নষ্ট করার পরিবর্তে নিজের আবেদনটি ঠিক করা উচিত। - Thomas Berger
আপনি +1 দিয়েছেন, উত্তর দেওয়ার জন্য ধন্যবাদ। - Saif Bechan
@ সাইফ বেকন, আমি একমত নই। w00tw00t একটি দুর্বলতা স্ক্যানার এবং এই ধরনের অনুরোধগুলি প্রদানকারী এমন মেশিনটি অন্য ধরনের অনুরোধের চেষ্টা করে বিশ্বস্ত হতে পারে না, তাই যদি আমি কোনও সিস্টেম প্রশাসক নই এবং এটি এমন সময়ে ক্লায়েন্টদের নিষিদ্ধ করার জন্য 2 মিনিট সময় নেয় তবে আমি। 'তাই না। যদিও আমি এই ধরনের পদ্ধতির উপর আমার সম্পূর্ণ নিরাপত্তা বাস্তবায়ন বেস না। - Isaac


w00tw00t.at.blackhats.romanian.anti-sec একটি হ্যাকিংয়ের প্রচেষ্টা এবং স্পুফ আইপি এর ব্যবহার যেমন ভিজুয়ালরুউট চীন, পোল্যান্ড, ডেনমার্ক ইত্যাদি রিপোর্ট করবে, সেই সময় আইপি অনুসারে দ্বিতীয়বারের মত দেখাবে। সুতরাং একটি অস্বীকারকারী আইপি বা সমাধানযোগ্য হোস্ট নাম সেট করা খুব কম অসম্ভব কারণ এটি একটি ঘন্টার মধ্যে পরিবর্তন হবে।


3
2018-06-01 11:20



এই দুর্বলতা স্ক্যান scofed আইপি ঠিকানা ব্যবহার করবেন না। যদি তারা করেন তবে টিসিপি 3-ওয়ে হ্যান্ডশেক সম্পন্ন হবে না এবং অ্যাপাচি অনুরোধটি লগ ইন করবে না। ক্যাভিটস (দুর্বৃত্ত আইএসপি, রাউটার অপারেটর, ইত্যাদি), দেখুন security.stackexchange.com/q/37481/53422 - Anthony Geoghegan


আমি ব্যক্তিগতভাবে আইপিটিবেল নিয়ম স্বয়ংক্রিয়ভাবে যোগ করার জন্য একটি পাইথন স্ক্রিপ্ট লিখেছেন।

এখানে লগিং এবং অন্যান্য জাঙ্ক ছাড়া সামান্য সংক্ষিপ্ত সংস্করণ রয়েছে:

#!/usr/bin/python
from subprocess import *
import re
import shlex
import sys

def find_dscan():
        p1 = Popen(['tail', '-n', '5000', '/usr/local/apache/logs/error_log'], stdout=PIPE)
        p2 = Popen(['grep', 'w00t'], stdin=p1.stdout, stdout=PIPE)

        output = p2.communicate()[0].split('\n')

        ip_list = []

        for i in output:
                result = re.findall(r"\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b", i)
                if len(result):
                        ip_list.append(result[0])

        return set(ip_list)

for ip in find_dscan():
        input = "iptables -A INPUT -s " + ip + " -j DROP"
        output = "iptables -A OUTPUT -d " + ip + " -j DROP"
        Popen(shlex.split(input))
        Popen(shlex.split(output))

sys.exit(0)

2
2018-03-24 07:06



এই w00tw00t আক্রমণ প্রতিরোধ করা হয় - Saif Bechan
হ্যাঁ, আমি এটি "w00tw00t" আইপিগুলির জন্য Apache ত্রুটি লগগুলি স্ক্যান করেছি এবং যদি তারা বিদ্যমান না থাকে তবে তাদের যুক্ত করুন, যদিও সরলতার জন্য আমি সদৃশগুলির জন্য চেক যোগ করি নি। - Xorlev
এই স্ক্রিপ্ট সম্ভবত একটি টেবিল ব্যবহার করা উচিত, আইপিটিবেল চেইন অতিরিক্ত টন যোগ করে বেশ কিছু প্রক্রিয়া প্রক্রিয়া ধীর গতিতে যাচ্ছে। - Eric
এটি একটি টেবিল ব্যবহার করে। তবে এটি আমার সিস্টেমে মাপসই করা অনেকটা সরলীকৃত। - Xorlev
আপনি কি মনে করেন এটি mod_security ব্যবহার করার জন্য একটি ভাল সমাধান - Saif Bechan


আমি বিশ্বাস করি mod_security আপনার জন্য কাজ করছে না কারণ Apache নিজেকে অনুরোধগুলি পার্স করতে পারছে না, তারা অফ অফ স্পেক। আমি নিশ্চিত নই যে আপনার এখানে একটি সমস্যা আছে - Apache নেটতে যা ঘটছে তা অদ্ভুত শিট লগ করছে, যদি এটি লগ না করে তবে তাও ঘটতে পারে না। অনুরোধ লগ করার জন্য প্রয়োজনীয় সম্পদ সম্ভবত সংক্ষিপ্ত। আমি আপনার হতাশাকে বুঝতে পারছি যে কেউ আপনার লগগুলি ভরাট করছে - তবে আপনি যদি সত্যিই এটির প্রয়োজনের জন্য লগিং নিষ্ক্রিয় করেন তবে এটি আরও হতাশাজনক হবে। কেউ আপনার ওয়েব সার্ভারে ভেঙে পড়ে এবং কিভাবে তারা ভেঙ্গেছে তা দেখানোর জন্য লগগুলি প্রয়োজন।

এক সমাধান syslog এর মাধ্যমে ত্রুটি-বিচ্যুতি স্থাপন করা, এবং তারপরে rsyslog বা syslog-ng ব্যবহার করে আপনি বিশেষভাবে ফিল্টার করতে পারেন এবং w00tw00t সম্পর্কিত এই RFC লঙ্ঘনগুলি বাতিল করতে পারেন। অথবা বিকল্পভাবে আপনি তাদের একটি পৃথক লগ ফাইলে ফিল্টার করতে পারেন যাতে আপনার প্রধান ত্রুটি লোগোটি পড়তে সহজ হয়। Rsyslog এই বিষয়ে অবিশ্বাস্যভাবে শক্তিশালী এবং নমনীয়।

তাই httpd.conf এ আপনি করতে পারেন:

ErrorLog syslog:user 

তারপর rsyslog.conf এ আপনি থাকতে পারে:

:msg, contains, "w00tw00t.at.ISC.SANS.DFind" /var/log/httpd/w00tw00t_attacks.log

সচেতন থাকুন, এই পদ্ধতির আসলে অনেক বার ব্যবহার করা হবে আরো সম্পদ মূলত একটি ফাইল সরাসরি লগিং ব্যবহার করা হয়। আপনার ওয়েব সার্ভার খুব ব্যস্ত থাকলে, এটি একটি সমস্যা হতে পারে।

যত তাড়াতাড়ি সম্ভব রিমোট লগিং সার্ভারে সমস্ত লগ পাঠানো তার সর্বোত্তম অনুশীলন এবং এটি আপনাকে উপকৃত করবে যা আপনাকে কখনই ভেঙ্গে ফেলা উচিত কারণ এটি কীভাবে করা হয়েছিল তার অডিট ট্রিল মুছে ফেলা অনেক কঠিন।

IPTables ব্লকিং একটি ধারণা, তবে আপনি একটি খুব বড় iptables ব্লক তালিকাটি শেষ করতে পারেন যা নিজের মধ্যে কর্মক্ষমতা প্রভাব ফেলতে পারে। আইপি ঠিকানায় একটি প্যাটার্ন আছে, নাকি এটি একটি বৃহত্তর বিতরিত বটনেট থেকে আসছে? আপনি iptables থেকে একটি সুবিধা পাবেন আগে duplates এক্স% হতে হবে।


2
2018-03-30 11:09



চমৎকার উত্তর, আমি বিভিন্ন পন্থা পছন্দ করি। এটি সম্পর্কে চিন্তা করা, কাস্টম লগিং করার ফলে আরও বেশি ব্যবহার করা হবে, কারণ সবকিছুই প্রথমে চেক করা উচিত, আমি মনে করি এই বিকল্পটি বন্ধ হয়ে গেছে। আমি এখন লগওয়াচ সক্রিয় আছে। এটি আমাকে পুরো সিস্টেমের সারাংশের সাথে ২ বার একটি প্রতিবেদন পাঠায়। Apache লগগুলিও চেক করা হয় এবং এটি কেবল 300 বার W00tw00t চেষ্টা করে বলে। আমার মনে হয় সেটআপের সময় সেটাই চলবে। - Saif Bechan


আপনি আপডেট 2 বলছেন:

সমস্যা যে এখনও অবশেষ   নিম্নরূপ যে সমস্যা এখনও অবশেষ। এই আক্রমণগুলি আপনার সার্ভারে নির্দিষ্ট ফাইলগুলির জন্য অনুসন্ধান করে এমন বট থেকে। এই বিশেষ স্ক্যানার ফাইল / w00tw00t.at.ISC.SANS.DFind :) জন্য অনুসন্ধান করে।

এখন আপনি শুধুমাত্র সবচেয়ে প্রস্তাবিত যা উপেক্ষা করা যাবে। সমস্যাটি যে আপনি যদি আপনার সার্ভারে কোনও দিন এই ফাইলটি থাকে তবে আপনি কিছু সমস্যাতে রয়েছেন।

আমার পূর্ববর্তী উত্তর থেকে আমরা একত্রিত হচ্ছি এইচটিএমএল 1.1 ক্যোয়ারির কারণে Apache একটি ত্রুটির বার্তা ফেরত দিচ্ছে। এইচটিএমএল / 1.1 সমর্থনকারী সমস্ত ওয়েব সার্ভার সম্ভবত এই বার্তাটি পাওয়ার সময় একটি ত্রুটি ফেরত দিতে পারে (আমি আরএফসি চেক করতে দ্বিগুণ নই - সম্ভবত RFC2616 আমাদের বলে)।

W00tw00t.at.ISC.SANS.DFind: আপনার সার্ভারে এমন কিছু যেখানে রহস্যজনকভাবে বোঝা যায় না "আপনি কিছু সমস্যার মধ্যে আছেন" ... যদি আপনি w00tw00t.at.ISC.SANS.Difind তৈরি করেন: আপনার ডকুমেন্টরুটে ফাইল বা এমনকি ডিফল্টডকুমেন্টরুট এটি কোন ব্যাপার না ... স্ক্যানার একটি ভাঙা HTTP / 1.1 অনুরোধ পাঠাচ্ছে এবং apache বলছে "না, এটি একটি খারাপ অনুরোধ ... ভাল bye"। W00tw00t.at.ISC.SANS.DFind তথ্য: ফাইল পরিসেবা করা হবে না।

এই ক্ষেত্রে mod_security ব্যবহার করার প্রয়োজন নেই যদি না আপনি সত্যিই চান (কোনও পয়েন্ট?) ... কোন ক্ষেত্রে, আপনি নিজে এটি প্যাচিং করতে পারেন (অন্য উত্তরের লিঙ্ক)।

Mod_security এ আরবিএল বৈশিষ্ট্যটি ব্যবহার করার অন্যতম জিনিস যা আপনি সম্ভবত দেখতে পারেন। সম্ভবত একটি RBL অনলাইনে কিছু আছে যেখানে এটি w00tw00t আইপি (বা অন্যান্য পরিচিত দূষিত আইপি) সরবরাহ করে। এর মানে এই যে mod_security প্রতিটি অনুরোধের জন্য একটি DNS সন্ধান করে।


1
2018-03-31 08:52



আমি মনে করি অ্যাপাচি তাদের প্রত্যাখ্যান করে না, এটি কেবল ত্রুটিটি ছুঁড়ে ফেলে তবে অনুসন্ধান এখনও পাস করে। আমি একই w00tw00t.at.ISC.SANS.D এক্সেস আছে লগ ইন। এটা একটি GET না। সুতরাং অনুসন্ধান করা হয় এবং যদি আপনার মেশিনে ফাইল থাকে তবে এটি কার্যকর হবে। আমি অ্যাক্সেস লগ এন্ট্রি পোস্ট করতে পারি তবে তারা শুধুমাত্র তাদের সামনে একটি GET দিয়ে ত্রুটির লগ হিসাবে একই দেখায়। Apache ত্রুটি ছুড়ে কিন্তু অনুরোধ পাস। এই কারণে আমি হোস্টনাম ছাড়াই এই অনুরোধটি ব্লক করা ভাল ধারণা চাই। কিন্তু আমি স্বাভাবিক ব্যবহারকারীদের ব্লক করতে চান না। - Saif Bechan
অবশ্যই, অ্যাক্সেস লগটিতে আপনি একই এন্ট্রি পাবেন কিন্তু ত্রুটি কোডটি দেখুন ... 400. এটি প্রক্রিয়া করা যাচ্ছে না। HTTP / 1.1 (হোস্টনাম) ব্যবহার করা হয় apache কে যা ভার্চুয়াল হোস্টকে অনুরোধ পাঠাতে বলা হয়েছে ... HTTP / 1.1 অনুরোধের অপঠিত অংশ ছাড়া অ্যাপা অনুরোধটি পাঠাবেন না এবং একটি "400 খারাপ অনুরোধ" ত্রুটি ফেরত দেয় না ক্লায়েন্ট ফিরে। - Imo
নিজের চেষ্টা করুন ... নিজের ওয়েব সার্ভারে নিজেকে একটি এইচটিএমএল পৃষ্ঠা তৈরি করুন এবং "টেলনেট হোস্টনাম 80" ব্যবহার করে এটি নিজে হাতে পেতে চেষ্টা করুন ... অন্যান্য পদক্ষেপ আমার প্রথম উত্তর। আমি এতে প্রচুর পরিমাণে উপহার দেব যে হোস্টনাম ছাড়া HTTP / 1.1 ব্যবহার করে আপনি HTML ফাইলটি প্রদর্শন করতে পারবেন না। - Imo
আহ হ্যাঁ হ্যাঁ যে আমার দিকে নির্দেশ করার জন্য। আমি সবসময় ভেবেছিলাম অ্যাক্সেস_লগ এন্ট্রির লগগুলি পাস করে এবং আসলে আপনার মেশিনে প্রবেশ করেছিল। আমার কাছে এই নির্দেশ করার জন্য আপনাকে ধন্যবাদ এবং আমি আমার পোস্ট সম্পাদনা করব। আমি সত্যিই আপনার সাহায্য তারিফ করা. - Saif Bechan
হাই সাইফ, কোন সমস্যা, সাহায্য করেছেন খুশি। শুভেচ্ছা, ইমো - Imo