Regras Owsap

[juliocsc]

me ajudem a entender o log abaixo

a dúvida é se a minha aplicação owasp está funcionando (bloqueando) ações maliciosas conforme o resultado da log abaixo:

 

clientdomain.com.br 66.150.14.187 960015 [27/Jan/2014:15:22:45 --0200]  Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/modsecurity-crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

[27/Jan/2014:15:22:45 --0200] UuaV5RdZwXkAAHupJ2UAAAAD 66.150.14.187 33423 23.12.569.215 80
--8275af40-B--
GET /Google/Google/index.htm HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
From: [email protected]
Host: clientdomain.com.br
User-Agent: Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.19 [jp]
Content-Type: application/x-www-form-urlencoded

--8275af40-F--
HTTP/1.1 403 Forbidden
Content-Length: 478
Connection: close
Content-Type: text/html; charset=iso-8859-1

--8275af40-H--
Message: collection_retrieve_ex: Unable to retrieve collection (name "global", key "global"). Use SecDataDir to define data directory first.
Message: collection_retrieve_ex: Unable to retrieve collection (name "ip", key "66.150.14.187_9b57b23d083f1a9dde7425c7d9df90d50af255df"). Use SecDataDir to define data directory first.
Message: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/modsecurity-crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]
Apache-Error: [file "core.c"] [line 3706] [level 3] File does not exist: /home/clientdomain/public_html/403.shtml
Action: Intercepted (phase 2)
Stopwatch: 1390843365089050 2588 (- - -)
Stopwatch2: 1390843365089050 2588; combined=869, p1=571, p2=193, p3=0, p4=0, p5=104, sr=165, sw=1, l=0, gc=0
Producer: ModSecurity for Apache/2.7.5 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.
Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Engine-Mode: "ENABLED"

 

[Fernando Rafs]

 

me ajudem a entender o log abaixo

a dúvida é se a minha aplicação owasp está funcionando (bloqueando) ações maliciosas conforme o resultado da log abaixo:

 

clientdomain.com.br 66.150.14.187 960015 [27/Jan/2014:15:22:45 --0200]  Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/modsecurity-crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

[27/Jan/2014:15:22:45 --0200] UuaV5RdZwXkAAHupJ2UAAAAD 66.150.14.187 33423 23.12.569.215 80

--8275af40-B--

GET /Google/Google/index.htm HTTP/1.1

TE: deflate,gzip;q=0.3

Connection: TE, close

From: [email protected]

Host: clientdomain.com.br

User-Agent: Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.19 [jp]

Content-Type: application/x-www-form-urlencoded

--8275af40-F--

HTTP/1.1 403 Forbidden

Content-Length: 478

Connection: close

Content-Type: text/html; charset=iso-8859-1

--8275af40-H--

Message: collection_retrieve_ex: Unable to retrieve collection (name "global", key "global"). Use SecDataDir to define data directory first.

Message: collection_retrieve_ex: Unable to retrieve collection (name "ip", key "66.150.14.187_9b57b23d083f1a9dde7425c7d9df90d50af255df"). Use SecDataDir to define data directory first.

Message: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/modsecurity-crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

Apache-Error: [file "core.c"] [line 3706] [level 3] File does not exist: /home/clientdomain/public_html/403.shtml

Action: Intercepted (phase 2)

Stopwatch: 1390843365089050 2588 (- - -)

Stopwatch2: 1390843365089050 2588; combined=869, p1=571, p2=193, p3=0, p4=0, p5=104, sr=165, sw=1, l=0, gc=0

Producer: ModSecurity for Apache/2.7.5 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.

Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1e-fips mod_bwlimited/1.4

Engine-Mode: "ENABLED"

 

 

 

Sim a regra está funcionando, ela está retornando um erro 403 (Acesso Negado).

 

---

--8275af40-F--

HTTP/1.1 403 Forbidden

Content-Length: 478

Connection: close

Content-Type: text/html; charset=iso-8859-1

---

 

Porém o apache está retornando um erro:

 

---

Apache-Error: [file "core.c"] [line 3706] [level 3] File does not exist: /home/clientdomain/public_html/403.shtml

---

 

Já que não existe o arquivo '403.shtml' na conta/usuário 'clientdomain'.

 

Este é um problema nas regras Owasp. Utilizo as regras de Badrobots deles e também retorna erro, em meu caso 406.shtml.

 

Estou vendo se encontro algo a respeito, para redirecionar para outro local, onde existem as páginas de erro. Desta forma tanto a regra irá funcionar como a página de erro, sem ocorrer erro no apache, por exemplo para '/cgi-sys/denied.shtml' ou '/cgi-sys/406.shtml', não posso ficar enviando estas páginas para a conta do cliente.

[juliocsc]

Valew Gustavo Aurélio, por sua explicação.

 

Como pode perceber, eu utilizo as regras owasp

Você me recomendaria outras  eficientes ?

[Fernando Rafs]

Valew Gustavo Aurélio, por sua explicação.

 

Como pode perceber, eu utilizo as regras owasp

Você me recomendaria outras  eficientes ?

 

Gratuita agora creio que somente a Owasp, se deseja algo melhor existe a Atomicorp, porém as regras são pagas:

 

- http://www.atomicorp.com/

 

Gratuita existem também a Comodo, porém é um produto novo e ainda existem diversos problemas:

 

- https://waf.comodo.com/

 

Eu geralmente monto um conjunto de regras entre as empresas que disponibilizam estas regras, exemplo a regra de Badrobots da Owasp utilizo até hoje, inclusive já meu salvou de uma inundação de bad robots que tive uma vez em um dos servidores.

 

O mais indicado é você testar e ver as regras que melhor se adaptam a sua necessidade, se é para hospedagem compartilhada ou um unico domínio, se é para VPS ou Dedicado, e assim por diante.

[juliocsc]

Gustavo, talvez você possa me ajudar novamente.

 

No log abaixo, as verificações do bing, google, etc tbm estão sendo bloqueadas ?

Sabe como posso desbloquear esses motores de busca ?

 

Gustavo, talvez você possa me ajudar novamente.

 

No log abaixo, as verificações do bing, google, etc tbm estão sendo bloqueadas ?

Sabe como posso desbloquear esses motores de busca ?

 

 

 

 

Use SecDataDir to define data directory first.

[27/Jan/2014:17:09:55 --0200] UuavAxdZwXkAAAhkH5UAAAAA 157.55.36.37 39989 23.12.569.215 80
--16e1564a-B--
GET /robots.txt HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
Accept: */*
Accept-Encoding:
From: bingbot(at)microsoft.com
Host: clientdomain.net
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

--16e1564a-F--
HTTP/1.1 404 Not Found
Content-Length: 458
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

--16e1564a-H--
Message: collection_retrieve_ex: Unable to retrieve collection (name "global", key "global"). Use SecDataDir to define data directory first.
Message: collection_retrieve_ex: Unable to retrieve collection (name "ip", key "157.55.36.37_4f1ba30e7e0a1348a60fa661e5bb8b958e7f7aa5"). Use SecDataDir to define data directory first.
Apache-Error: [file "core.c"] [line 3706] [level 3] File does not exist: /home/clientdomain/public_html/robots.txt
Apache-Error: [file "core.c"] [line 3706] [level 3] File does not exist: /home/clientdomain/public_html/404.shtml
Stopwatch: 1390849795256460 3643 (- - -)
Stopwatch2: 1390849795256460 3643; combined=1463, p1=701, p2=565, p3=3, p4=89, p5=103, sr=257, sw=2, l=0, gc=0
Producer: ModSecurity for Apache/2.7.5 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.
Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Engine-Mode: "ENABLED"

[Fernando Rafs]

Gustavo, talvez você possa me ajudar novamente.

 

No log abaixo, as verificações do bing, google, etc tbm estão sendo bloqueadas ?

Sabe como posso desbloquear esses motores de busca ?

 

Você está utilizando as regras de protocolo, se não me engano a Owasp possui 2 arquivos '.conf' com estas regras de protocolo.

 

Estas regras de protocolo da Owasp causam muitos problemas, principalmente de falso positivo, eu particularmente não usaria estas regras.

 

Algumas regras são muito agressivas, principalmente se estiver utilizando em um ambiente compartilhado.

[juliocsc]

Tenho um VPS para hospedagem compartilhada com painel cPanel e cmc v1.10

 

Gostaria de tentar assegurar os sites ali hospedado usando ConfigServer ModSecurity Control, porém não sei bem como fazer e o que fazer.

O CMC já está instalado, mas agora nao sei o que fazer em diante, seria instalar as regras ? como obtê-las gratuitamente e instala-las de formas personalizada como você mesmo recomendou ?

[eulergui]

Sobre as regras da Comodo, estou utilizando sem problemas em um servidor de produção com poucos sites, a maioria em Wordpress e até agora as regras estão se comportando bem, bloqueando acessos ilegais de bots e os sites funcionando perfeitamente. Nenhuma reclamação dos clientes desse servidor (foram todos avisados para caso ocorresse qualquer erro ou tela estranha, que me avisassem imediatamente e, se possível, com o print da tela.)

Enviado de meu XT919 usando Tapatalk

[juliocsc]

Tenho ConfServer CMC instalado no cpanel com as regras da Owasp,

Acontece que tá dando muito falso positivo, principalmente em sites CMS (wordpress) só de visitar o site e clicar em um link ta bloqueando geral os visitantes.

 

Existe algum nível que eu possa tá reduzindo? Como proceder ?

 

Outro detalhe, sempre que eu insiro uma Rule ID List, automaticamente o cmc reinicia o apache, e a linha abaixo, inserida no /etc/httpd/conf/httpd.conf some, e eu tenho que colocar manualmente, pq isto acontece ? como resolver ?

 

Linha:

<IfModule security2_module>

    Include modsecurity-crs/modsecurity_crs_10_config.conf

    Include modsecurity-crs/base_rules/*.conf

</IfModule>

[juliocsc]

Olá pessoal,

 

Como posso diminuir a agressividade das regras Owasp, eu as instalei mas nao sei como diminuir a ofensividade das regras, pois ela tá bloqueando tudo, até visitante normal de um site em wordpress ou qualquer outro sistema php.

 

obrigado pela ajuda!