[info]Rule *Galak* mod_sec2


Status
Not open for further replies.

tajidyakub

Apprentice 1.0
Halo Teman-teman semua,

Thread ini sekedar info.

Saya dapat advise dari rekan yang juga anggota di forum ini, untuk memasukkan salah satu rule berikut (terkait dengan command injection) ..

Code:
SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:\b(?:(?:n(?:et(?:\b\W+?\blocalgroup|\.exe)|(?:map|c)\.exe)|t(?:racer(?:oute|t)|elnet\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\.exe|echo\b\W*?\by+)\b|c(?:md(?:(?:32)?\.exe\b|\b\W*?\/c)|d(?:\b\W*?[\\\/]|\W*?\.\.)|hmod.{0,40}?\+.{0,3}x))|[\;\|\`]\W*?\b(?:(?:c(?:h(?:grp|mod|own|sh)|md|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)\b|g(?:\+\+|cc\b))|\/(?:c(?:h(?:grp|mod|own|sh)|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|g(?:\+\+|cc)|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)(?:[\'\"\|\;\`\-\s]|$))" \
        "capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'System Command Injection. Matched signature <%{TX.0}>',id:'950006',severity:'2'"

Namun rule itu terlalu *galak* karena keyword nyangkut di firefox versi bahasa indonesia. Berikut error di lognya;

Code:
REQUEST_HEADERS:User-Agent. [id "950006"] [msg "System Command Injection. Matched signature <; id>"] [severity "CRITICAL"]

Nah sementara signature ini adalah identitas Indonesia dari Firefox :D, sesuai troubleshooting yang dilakukan oleh seorang user Magnet dari pemeriksaan header dengan menggunakan Firefox berbahasa Indonesia.

Code:
...
Accept-Language: id,en-us;q=0.7,en;q=0.3
..

Dengan sangat terpaksa signature *id* nya dihilangkan dari rule, sekedar info buat yang lain apabila mengalami.
 

rendy

Hosting Guru
Verified Provider
Halo Teman-teman semua,

Thread ini sekedar info.

Saya dapat advise dari rekan yang juga anggota di forum ini, untuk memasukkan salah satu rule berikut (terkait dengan command injection) ..

Code:
SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:\b(?:(?:n(?:et(?:\b\W+?\blocalgroup|\.exe)|(?:map|c)\.exe)|t(?:racer(?:oute|t)|elnet\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\.exe|echo\b\W*?\by+)\b|c(?:md(?:(?:32)?\.exe\b|\b\W*?\/c)|d(?:\b\W*?[\\\/]|\W*?\.\.)|hmod.{0,40}?\+.{0,3}x))|[\;\|\`]\W*?\b(?:(?:c(?:h(?:grp|mod|own|sh)|md|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)\b|g(?:\+\+|cc\b))|\/(?:c(?:h(?:grp|mod|own|sh)|pp|c)|p(?:asswd|ython|erl|ing|s)|n(?:asm|map|c)|f(?:inger|tp)|(?:kil|mai)l|g(?:\+\+|cc)|(?:xte)?rm|ls(?:of)?|telnet|uname|echo|id)(?:[\'\"\|\;\`\-\s]|$))" \
        "capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'System Command Injection. Matched signature <%{TX.0}>',id:'950006',severity:'2'"

Namun rule itu terlalu *galak* karena keyword nyangkut di firefox versi bahasa indonesia. Berikut error di lognya;

Code:
REQUEST_HEADERS:User-Agent. [id "950006"] [msg "System Command Injection. Matched signature <; id>"] [severity "CRITICAL"]

Nah sementara signature ini adalah identitas Indonesia dari Firefox :D, sesuai troubleshooting yang dilakukan oleh seorang user Magnet dari pemeriksaan header dengan menggunakan Firefox berbahasa Indonesia.

Code:
...
Accept-Language: id,en-us;q=0.7,en;q=0.3
..

Dengan sangat terpaksa signature *id* nya dihilangkan dari rule, sekedar info buat yang lain apabila mengalami.

Kodenya jadi apa pak ?
SOL
 

whatthahell

Poster 2.0
950006 standar di cPanel ya?
dulu juga pernah kejadian, yang punya website ga bisa akses ke websitenya krn pake FF versi indonesia. gw delete semua 'id', beres deh. tapi lebih bagus lagi kalo ada yang bisa modif rulenya.

ada lagi nih, yang konflik dgn plugin wordpress yang fungsinya untuk ping ke ping-o-matic untuk notifikasi post baru ke search engine. admin WP nya bisa keblokir gara2 rule itu. Tapi lupa nomornya :D karena dah gw hapus total. find aja deh baris yang ada ping nya.
 

whatthahell

Poster 2.0
baru nglihat judulnya mod_sec2. jadi bingung neh, maksudnya mod sec versi 2? trus cara ngecek versi mod sec gimana ya?
 

tajidyakub

Apprentice 1.0
Iya Pak Mod Sec 2, kalau bawaan cpanel yang sekarang sih dengan apache 2 ya mod sec 2, salah satu perbedaan yang cukup merepotkan adalah bahwa mod sec 2 ini tidak bisa didisable via .htaccess.
 

harrysudana

New Member
thread lama banget yach.

btw apa masih bisa dimungkinkan untuk memberikan saran para developer mozilla untum mengganti identiti Indonesia "id" menjadi "idn" atau yang lainnya ??
 

rendy

Hosting Guru
Verified Provider
thread lama banget yach.

btw apa masih bisa dimungkinkan untuk memberikan saran para developer mozilla untum mengganti identiti Indonesia "id" menjadi "idn" atau yang lainnya ??

seharusnya bisa ya, ind,
soalnya kalau pakai firefox bahasa indonesia, beberapa situs engga bisa dibuka
 

nicosoftmedia

(RIP) Community Guide
Dan sepertinya sampai saat ini belum ada perbaikan dari firefoxnya walaupun sudah versi terbaru.
biasanya muncul pesan error seperti ini :

Code:
"method / not implemented"
 

harrysudana

New Member
@rendy
ada mungkin yang bisa bikin petisi (atau apa istilahnya) buat sekedar ngasih informasi kalau ada sedikit kendala di indentiti "ID" dengan mod_sec rule (kalau memang benar problemnya itu)? saya dukung dech :D
 
Status
Not open for further replies.

Top