Jump to content

Regras ModSecurity Comodo ainda funcionam?


Leo Amarante

Recommended Posts

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem CPanel e DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

24 minutos atrás, chuvadenovembro disse:

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

Opa, blz @chuvadenovembro ? Quanto tempo kkkk!

Então, estou configurando um vps com cpanel aqui para uma agência que desenvolve e hospeda sites em wordpress e CodeIgniter.  Eles estavam usando um vps sem qualquer config de segurança, só CSF,  e sofreram um ataque nos sites, estavam adicionando vários arquivos upl.php e ai já sabe o estrago.  Configurei as regras padrão da OWASP mas gerou muitos falsos positivo. 

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Pode me confirmar se o link do Vendor https://waf.comodo.com/doc/meta_comodo_apache.yaml é esse mesmo?
Procurei mas não achei nada atualizado sobre falso positivos ou regras que devem ser desabilitadas em ambiente compartilhado. 

Link to comment
Share on other sites

Em todos nossos servidores de hospedagem compartilhada temos utilizado o Imunify360. Anterioremente utilizávamos o Comodo, era bom, porém com muitos falso positivos.

A vantagem do Imunify360 é que se o cliente fizer login no painel já vai pra whitelist do firewall e caso ele faça algo como admin que gere um falso positivo não é bloqueado o acesso dele.

Porém para um VPS o custo do Imunify fica meio caro.

Link to comment
Share on other sites

O link do comodo está correto sim.

Então Leo, se for wordpress e estiver sendo explorado, acredito que somente com regras do modsecurity não vai conseguir resolver o problema, será necessário blindar o site (estou assumindo que seja wp, porque atualmente quase todos os problemas de exploração dos sites são wp com plugins, temas e próprio wp desatualizado e sem blindagem).

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem CPanel e DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

Recentemente enfrento o mesmo problema, com algum sites sendo injetados arquivos upl.php, ubh.php, info-rex.php, infonew.php, worker.php. Quando isso acontece em alguns casos são criados usuários em alguns sites e todos os plugins desativados, inclusive Wordfance e Sucur, e códigos injetados nos arquivos do Wordpress o que da um baita trabalho para remover.

Waf com regras da comodo não resolvem, firewall não resolve, imunify não resolve. Só conseguimos segurar um pouco isso bloqueando algumas funções via php, mas depois de um tempo os problemas ocorrem novamente mudando a técnica de invasão, até porque o problema geralmente vai acontece de dentro para fora, com algo já camuflado junto aos arquivos do site

É algo bem complicado.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

6 horas atrás, Leo Amarante disse:

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

Link to comment
Share on other sites

15 minutos atrás, abadan disse:

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

Obrigado pela sugestão vou verificar.

Aqui tenho muitas ocorrências desse tipo de linha sendo injetado em todos os arquivos index.php do Wordpress e sendo criados outros index.php em diretórios onde ele não existe nativamente no Wordpress

<?php
/*e8fac*/

@include ("/home/xxxxx/public_html/xxxxx/wp-includes/rest-api/.b466cb6f.ott");

/*e8fac*/

Esse caminho não aponta necessariamente para /rest-api  mas fica variando e pode ser para qualquer outro diretório e o arquivo as vezes é .inc. E também não é possível visualizar pelo cpanel mesmo exibindo arquivos ocultos, apenas por ssh é possível.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

Tenho utilizado o cPGuard tem funcionado muito bem, quando o arquivo está comprometido ele pode enviar para quarentena, se for arquivo padrão do WP ele consegue restaurar ao arquivo original, fazendo uma limpeza do código malicioso.

Muito bom, completo, pago 11$ por servidor com muita satisfação.

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?