NOTES:

http://webhosting.pl/Apache.pod.kluczem.czyli.jak.zabezpieczyc.serwer.WWW?page=5
http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasiv
e-ubuntu-1204-lts-server
RULESY (DARMOWE): https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Cor
e_Rule_Set_Project
2013-09-16 - zablokowany atak na http://www.arged.com.pl/ (w panel w ustawieniac
h strony -> dyrektywy apache)
1-------------- INSTALACJA:
apt-get install libapache-mod-security
a2enmod mod-security

2. ------------- KONFIGIURACJA /etc/apache2/mods-available/mod-security.conf
<ifModule mod_security2.c>
SecRuleEngine On
SecAuditLog /var/log/apache2/audit_log # (i tak tam nic nie loguje! log
uje sie do "error.log" strony ktra "zaapaa regue"
# reguy SecRule ....(patrz howto niej)

</IfModule>
UWAGA! PO PRZETESTOWANIU REGUY lepiej chyba dodawa do opcji "dyrektywy apache" dla
danej atakowanej strony (te ujte w <ifModule>...)
3. ------ HOW TO !!!!!
- reguy wygldaj tak:
SecRule ZMIENNA OPERATOR [AKCJA]
ZMIENNE: https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#variabl
es
OPERATOR: wyraenie reguralne
AKCJA: defaultowa akcja jest accept (a dokadniej taka jak ustawi si w SecFilterDe
faultAction)
WPISUJEMY KILKA AKCJI PO PRZECINKU
deny zablokuj zapytanie,
allow pozwl na wykonanie zapytania,
status:xxx zwr status serwera o numerze, gdzie xxx jest kodem statusu serw
era,
redirect:url przekieruj do adresu url,
log zapisz zapytanie do pliku dziennika,
nolog nie rejestruj zapytania w dzienniku.
t - przetworzenie tekstu (https://github.com/SpiderLabs/ModSecurity/wiki
/Reference-Manual#t)
- eg. t:none,t:htmlEntityDecode,t:lowercase,t:removeNulls,t:remo
veWhitespace
- pierwsze t:none resetuje wczeniej uyte transformacje
phase - na jakim "etapie" ma by sprawdzenie -> Fazy blokowania: https://g
ithub.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#wiki-Processing_Phases
- phase:1 to przy poczeniu od razu, itd
pena lista: https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#wiki-
Actions
4. PRZYKADY BLOKOWANIA:
# robot 80 legs - czasami napierdala tak zapytania ze ja pierdole
SecRule HTTP_User-Agent "80bot" "deny,log,status:403"
# Proste blokowanie jak kto w URLu bdzie o shadow prosi
SecRule REQUEST_URI "/etc/shadow"
5. SKOMPLIKOWANE OPERCJE:
Uycie operatora AND (chain)
SecRule REQUEST_METHOD "^POST$" phase:1,chain,t:none,id:105
SecRule &REQUEST_HEADERS:Content-Length "@eq 0" t:none
- tylko jak bdzie zapytanie POST ORAZ (AND) nie bdzie oznaczona wilekoc nagwk
a (lub bdzie wynosi 0)
- w przypadku "chain"owania regy docelowe (log, drop, id, ...) dajemy tylk
o w 1 linijce warunku
--- przykad 2.
# Blokuj DDoS rozpoczty 2013-09-13
SecRule REQUEST_METHOD "^POST$" phase:1,chain,t:none,id:105,nolog,drop
SecRule HTTP_User-Agent "Mozilla\/4.0 \(compatible; MSIE 6.0; Windows NT 5.1\; S
V1\)" t:none
# blokuje to taki DoS:
#arged.com.pl:80 91.194.229.34 - - [16/Sep/2013:11:03:43 +0200] "POST / HTTP/1.0
" 302 243 "-" "Mozilla/4.0 (compatible; MSIE 999.1; Unknown)"
--2013-09-16
ARGED
"POST / HTTP/1.1" 302 281 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1
; SV1)"
# robot 80 legs - czasami napierdala tak zapytania ze ja pierdole
SecRule HTTP_User-Agent "80bot" "deny,log,status:403"