From: Timu EREN (selam008@hotpop.com)
Date: Mon 21 Jun 2004 - 23:59:14 EEST
Merhaba..
Sisteminize bir saldırı girişi olduğu çok açık..
Ben bu tür saldırı çeşitlerini (http için) tespit etmek için bir
web sunucu kurdum ve üzerine bir kaç adet çok yaygın olarak kullanılan
CMS sistemlerinden yükledim bir kaç adet saldırı çeşiti tespit ettikten sonra
mod_security i deneme amaçlı kurdum ve şu anda log lardan incelediğim kadarı
ile gayet başarılı bir şekilde işe yarıyor... yaptığı iş ise bir tür süzgeç
gibi veridğiniz kurallara uygun bir istek geldiğinde varsayılan olarak
belirlediğiniz politakanın uygunlanmasını sağlamak post yönteminide
destekleyen süzgeç için size yapılan saldırı çeşitlerini örnek olarak
verirsek SecFilter "|exec%20/tmp/w00t"
gibi bir fitre tanımlayıp etkisiz hale getirebilirsiniz...
isterseniz filtereye özgü bir tanımlamada yapabilirsiniz
sitesinde snort' un mysql veri tabanını kendisi için yorumlayan bir araç da
mevcut... ilgilenirseniz ayrıntılı bilgiyi http://www.modsecurity.org/
adresinden edinebilirsiniz ... şu anda web sunucu çok fazla ziyaret
edilmediği ve çok fazla yüklenilmediği için apachenin performansına olan
etkisi üzerinde fazla bir yorum yapamayacağım ....
Saygılar && İyi Çalışmalar....
Timu EREN