Jump to content

Nova regra p/ modsecurity (uploads externos)


Elias2

Recommended Posts

Olá, tudo joia galera?

 

Vamos por partes!!!

 

 

Minha estrutura atual

================================

Bom, eu sou novato no modsecurity e estou tento ataques constantes em minha VPS. Tenho uma vps para sites compartilhados, com muitos clientes que tem o wordpress instalado, muitos até estão desatualizados...

 

Instalei o modsec com owasp e comodo. Algumas(3 ou 4) regras do owasp eu desabilitei devido a conflitar com o wordpress.

 

Comprei também o Pyxsoft, que monitora os uploads também.

 

Mas, aquivos zip com exploit passam pelo Pyxsoft, geramente plugins ou temas com bugs para WP.

 

95% dos ataques e tentativas de uploads, são de origem de fora do Brasil.

 

Hoje eu bloqueei os uploads aquivos .zip, .rar, .tar.gz, etc..., mas não acho que seja legal isso. Pois, acabo travando caso algum cliente queira atualizar um tema ou plugin.

 

 

 

Nova regra

================================

Quero criar uma regra que bloqueie, todos os uploads de qualquer arquivo que venha de fora do país. Mas não quero bloquear os acesso, pois acho que não precisa.

 

Bom pessoal, não sei se é a melhor maneira de resolver é fazendo isso, mas gostaria muito de algumas sugestões/dicas ou até críticas sobre o assunto.

 

Caso gostem da ideia, como podeira fazer essa regra?

 

Muito obrigado pela atenção!

 

Abrass!!!

 

 

 

 

 

 

 

 

 

 

Link to comment
Share on other sites

Bloquear upload? Vai perder cliente amigão e não vai evitar ninguém de fora a explorar falhas!

Aqui utilizamos o CXS e alertamos os clientes sobre problemas com os CMS. Como utilizamos coudlinux/CageFS em conjunto, o risco é ainda menor com tamanha popularidade desse WP.

Link to comment
Share on other sites

Opa, 

 

A ideia é bloquear os uploads  apenas para conexões de fora do brasil, tenho somente um cliente que faz viagens ao exterior, mas não usaria uploads e tal.

 

O restante, são cliente mais selecionados, com baixa demanda. Por isso, não acho que irá trazer problemas em fazer o bloqueio.

 

Estou pensando em criar um script em php que faz a analise, consulta ip no GeoIP.dat, respeitando a whitelist e blacklist do firewall.

 

Depois crio uma regra no modsec com @inspectFile.

 

Pelo menos é a ideia inicial. ( Teoria, claro! hehehe!!! )

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?