[info]Rule *Galak* mod_sec2

[tajidyakub]

Halo Teman-teman semua,

Thread ini sekedar info.

Saya dapat advise dari rekan yang juga anggota di forum ini, untuk memasukkan salah satu rule berikut (terkait dengan command injection) ..

SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:\b(?:(?:n(?:et(?:\b\W+?\blocalgroup|\.exe)|(?:map|c)\.exe)|t(?:racer(?:oute|t)|elnet\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\.exe|echo\b\W*?\by+)\b|c(?:md(?:(?:32)?\.exe\b|\b\W*?\/c)|d(?:\b\W*?[\\\/]|\W*?\.\.)|hmod.{0,40}?\+.{0,3}x))|[\;\|\`]\W*?\b(?:(?:c(?:h(?:grp|mod|own|sh)|md|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)\b|g(?:\+\+|cc\b))|\/(?:c(?:h(?:grp|mod|own|sh)|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|g(?:\+\+|cc)|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)(?:[\'\"\|\;\`\-\s]|$))" \
        "capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'System Command Injection. Matched signature <%{TX.0}>',id:'950006',severity:'2'"

Namun rule itu terlalu *galak* karena keyword nyangkut di firefox versi bahasa indonesia. Berikut error di lognya;

REQUEST_HEADERS:User-Agent. [id "950006"] [msg "System Command Injection. Matched signature <; id>"] [severity "CRITICAL"]

Nah sementara signature ini adalah identitas Indonesia dari Firefox , sesuai troubleshooting yang dilakukan oleh seorang user Magnet dari pemeriksaan header dengan menggunakan Firefox berbahasa Indonesia.

...
Accept-Language: id,en-us;q=0.7,en;q=0.3
..

Dengan sangat terpaksa signature *id* nya dihilangkan dari rule, sekedar info buat yang lain apabila mengalami.

 

[rendy]

Halo Teman-teman semua,

Thread ini sekedar info.

Saya dapat advise dari rekan yang juga anggota di forum ini, untuk memasukkan salah satu rule berikut (terkait dengan command injection) ..

SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:\b(?:(?:n(?:et(?:\b\W+?\blocalgroup|\.exe)|(?:map|c)\.exe)|t(?:racer(?:oute|t)|elnet\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\.exe|echo\b\W*?\by+)\b|c(?:md(?:(?:32)?\.exe\b|\b\W*?\/c)|d(?:\b\W*?[\\\/]|\W*?\.\.)|hmod.{0,40}?\+.{0,3}x))|[\;\|\`]\W*?\b(?:(?:c(?:h(?:grp|mod|own|sh)|md|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)\b|g(?:\+\+|cc\b))|\/(?:c(?:h(?:grp|mod|own|sh)|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|g(?:\+\+|cc)|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)(?:[\'\"\|\;\`\-\s]|$))" \
        "capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'System Command Injection. Matched signature <%{TX.0}>',id:'950006',severity:'2'"

Namun rule itu terlalu *galak* karena keyword nyangkut di firefox versi bahasa indonesia. Berikut error di lognya;

REQUEST_HEADERS:User-Agent. [id "950006"] [msg "System Command Injection. Matched signature <; id>"] [severity "CRITICAL"]

Nah sementara signature ini adalah identitas Indonesia dari Firefox , sesuai troubleshooting yang dilakukan oleh seorang user Magnet dari pemeriksaan header dengan menggunakan Firefox berbahasa Indonesia.

...
Accept-Language: id,en-us;q=0.7,en;q=0.3
..

Dengan sangat terpaksa signature *id* nya dihilangkan dari rule, sekedar info buat yang lain apabila mengalami.

Kodenya jadi apa pak ?
SOL

 

[whatthahell]

950006 standar di cPanel ya?
dulu juga pernah kejadian, yang punya website ga bisa akses ke websitenya krn pake FF versi indonesia. gw delete semua 'id', beres deh. tapi lebih bagus lagi kalo ada yang bisa modif rulenya.

ada lagi nih, yang konflik dgn plugin wordpress yang fungsinya untuk ping ke ping-o-matic untuk notifikasi post baru ke search engine. admin WP nya bisa keblokir gara2 rule itu. Tapi lupa nomornya karena dah gw hapus total. find aja deh baris yang ada ping nya.

 

[whatthahell]

baru nglihat judulnya mod_sec2. jadi bingung neh, maksudnya mod sec versi 2? trus cara ngecek versi mod sec gimana ya?

 

[tajidyakub]

Iya Pak Mod Sec 2, kalau bawaan cpanel yang sekarang sih dengan apache 2 ya mod sec 2, salah satu perbedaan yang cukup merepotkan adalah bahwa mod sec 2 ini tidak bisa didisable via .htaccess.

 

[susan]

Thanks infonya.
Menurut rekans *galak* mana rulenya cpanel dengan rulenya gotroot ?

Susan,
________________________________
Whplus - IIX dan USA Hosting Since 2003
Pembayaran: Transfer Bank atau Paypal
http://whplus.com

 

[harrysudana]

thread lama banget yach.

btw apa masih bisa dimungkinkan untuk memberikan saran para developer mozilla untum mengganti identiti Indonesia "id" menjadi "idn" atau yang lainnya ??

 

[rendy]

thread lama banget yach.

btw apa masih bisa dimungkinkan untuk memberikan saran para developer mozilla untum mengganti identiti Indonesia "id" menjadi "idn" atau yang lainnya ??

seharusnya bisa ya, ind,
soalnya kalau pakai firefox bahasa indonesia, beberapa situs engga bisa dibuka

 

[nicosoftmedia]

Dan sepertinya sampai saat ini belum ada perbaikan dari firefoxnya walaupun sudah versi terbaru.
biasanya muncul pesan error seperti ini :

"method / not implemented"

 

[harrysudana]

@rendy
ada mungkin yang bisa bikin petisi (atau apa istilahnya) buat sekedar ngasih informasi kalau ada sedikit kendala di indentiti "ID" dengan mod_sec rule (kalau memang benar problemnya itu)? saya dukung dech