[info]Rule *Galak* mod_sec2

Discussion in 'Masalah Teknik dan Keamanan' started by tajidyakub, 16 Nov 2008.

Thread Status:
Not open for further replies.
  1. tajidyakub

    tajidyakub Apprentice 1.0

    Messages:
    379
    Likes Received:
    6
    Trophy Points:
    18
    Halo Teman-teman semua,

    Thread ini sekedar info.

    Saya dapat advise dari rekan yang juga anggota di forum ini, untuk memasukkan salah satu rule berikut (terkait dengan command injection) ..

    Code:
    SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:\b(?:(?:n(?:et(?:\b\W+?\blocalgroup|\.exe)|(?:map|c)\.exe)|t(?:racer(?:oute|t)|elnet\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\.exe|echo\b\W*?\by+)\b|c(?:md(?:(?:32)?\.exe\b|\b\W*?\/c)|d(?:\b\W*?[\\\/]|\W*?\.\.)|hmod.{0,40}?\+.{0,3}x))|[\;\|\`]\W*?\b(?:(?:c(?:h(?:grp|mod|own|sh)|md|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)\b|g(?:\+\+|cc\b))|\/(?:c(?:h(?:grp|mod|own|sh)|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|g(?:\+\+|cc)|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)(?:[\'\"\|\;\`\-\s]|$))" \
            "capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'System Command Injection. Matched signature <%{TX.0}>',id:'950006',severity:'2'"
    
    Namun rule itu terlalu *galak* karena keyword nyangkut di firefox versi bahasa indonesia. Berikut error di lognya;

    Code:
    REQUEST_HEADERS:User-Agent. [id "950006"] [msg "System Command Injection. Matched signature <; id>"] [severity "CRITICAL"]
    Nah sementara signature ini adalah identitas Indonesia dari Firefox :D, sesuai troubleshooting yang dilakukan oleh seorang user Magnet dari pemeriksaan header dengan menggunakan Firefox berbahasa Indonesia.

    Code:
    ...
    Accept-Language: id,en-us;q=0.7,en;q=0.3
    ..
    Dengan sangat terpaksa signature *id* nya dihilangkan dari rule, sekedar info buat yang lain apabila mengalami.
     
    am3n likes this.
  2. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    Kodenya jadi apa pak ?
    SOL
     
  3. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    950006 standar di cPanel ya?
    dulu juga pernah kejadian, yang punya website ga bisa akses ke websitenya krn pake FF versi indonesia. gw delete semua 'id', beres deh. tapi lebih bagus lagi kalo ada yang bisa modif rulenya.

    ada lagi nih, yang konflik dgn plugin wordpress yang fungsinya untuk ping ke ping-o-matic untuk notifikasi post baru ke search engine. admin WP nya bisa keblokir gara2 rule itu. Tapi lupa nomornya :D karena dah gw hapus total. find aja deh baris yang ada ping nya.
     
  4. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    baru nglihat judulnya mod_sec2. jadi bingung neh, maksudnya mod sec versi 2? trus cara ngecek versi mod sec gimana ya?
     
  5. tajidyakub

    tajidyakub Apprentice 1.0

    Messages:
    379
    Likes Received:
    6
    Trophy Points:
    18
    Iya Pak Mod Sec 2, kalau bawaan cpanel yang sekarang sih dengan apache 2 ya mod sec 2, salah satu perbedaan yang cukup merepotkan adalah bahwa mod sec 2 ini tidak bisa didisable via .htaccess.
     
  6. susan

    susan Apprentice 1.0

    Messages:
    287
    Likes Received:
    37
    Trophy Points:
    28
    Thanks infonya.
    Menurut rekans *galak* mana rulenya cpanel dengan rulenya gotroot ?

    Susan,
    ________________________________
    Whplus - IIX dan USA Hosting Since 2003
    Pembayaran: Transfer Bank atau Paypal
    http://whplus.com
     
  7. harrysudana

    harrysudana New Member

    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    1
    thread lama banget yach.

    btw apa masih bisa dimungkinkan untuk memberikan saran para developer mozilla untum mengganti identiti Indonesia "id" menjadi "idn" atau yang lainnya ??
     
  8. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    seharusnya bisa ya, ind,
    soalnya kalau pakai firefox bahasa indonesia, beberapa situs engga bisa dibuka
     
  9. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Dan sepertinya sampai saat ini belum ada perbaikan dari firefoxnya walaupun sudah versi terbaru.
    biasanya muncul pesan error seperti ini :

    Code:
    "method / not implemented"
     
  10. harrysudana

    harrysudana New Member

    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    1
    @rendy
    ada mungkin yang bisa bikin petisi (atau apa istilahnya) buat sekedar ngasih informasi kalau ada sedikit kendala di indentiti "ID" dengan mod_sec rule (kalau memang benar problemnya itu)? saya dukung dech :D
     
Thread Status:
Not open for further replies.

Share This Page

Loading...