Regras ModSecurity Comodo ainda funcionam?

[Leo Amarante]

Olá pessoal!

O projeto “Free Modsecurity rules by Comodo” está funcional? Ainda compensa usá-lo?

Existe outro projeto free ou comercial que seja bom para indicarem?

[chuvadenovembro]

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

[Leo Amarante]

24 minutos atrás, chuvadenovembro disse:

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

Opa, blz @chuvadenovembro ? Quanto tempo kkkk!

Então, estou configurando um vps com cpanel aqui para uma agência que desenvolve e hospeda sites em wordpress e CodeIgniter.  Eles estavam usando um vps sem qualquer config de segurança, só CSF,  e sofreram um ataque nos sites, estavam adicionando vários arquivos upl.php e ai já sabe o estrago.  Configurei as regras padrão da OWASP mas gerou muitos falsos positivo. 

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Pode me confirmar se o link do Vendor https://waf.comodo.com/doc/meta_comodo_apache.yaml é esse mesmo?
Procurei mas não achei nada atualizado sobre falso positivos ou regras que devem ser desabilitadas em ambiente compartilhado. 

[GustavoAndre]

Em todos nossos servidores de hospedagem compartilhada temos utilizado o Imunify360. Anterioremente utilizávamos o Comodo, era bom, porém com muitos falso positivos.

A vantagem do Imunify360 é que se o cliente fizer login no painel já vai pra whitelist do firewall e caso ele faça algo como admin que gere um falso positivo não é bloqueado o acesso dele.

Porém para um VPS o custo do Imunify fica meio caro.

[chuvadenovembro]

O link do comodo está correto sim.

Então Leo, se for wordpress e estiver sendo explorado, acredito que somente com regras do modsecurity não vai conseguir resolver o problema, será necessário blindar o site (estou assumindo que seja wp, porque atualmente quase todos os problemas de exploração dos sites são wp com plugins, temas e próprio wp desatualizado e sem blindagem).

[RevendaHost]

Recentemente enfrento o mesmo problema, com algum sites sendo injetados arquivos upl.php, ubh.php, info-rex.php, infonew.php, worker.php. Quando isso acontece em alguns casos são criados usuários em alguns sites e todos os plugins desativados, inclusive Wordfance e Sucur, e códigos injetados nos arquivos do Wordpress o que da um baita trabalho para remover.

Waf com regras da comodo não resolvem, firewall não resolve, imunify não resolve. Só conseguimos segurar um pouco isso bloqueando algumas funções via php, mas depois de um tempo os problemas ocorrem novamente mudando a técnica de invasão, até porque o problema geralmente vai acontece de dentro para fora, com algo já camuflado junto aos arquivos do site

É algo bem complicado.

[abadan]

6 horas atrás, Leo Amarante disse:

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

[RevendaHost]

15 minutos atrás, abadan disse:

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

Obrigado pela sugestão vou verificar.

Aqui tenho muitas ocorrências desse tipo de linha sendo injetado em todos os arquivos index.php do Wordpress e sendo criados outros index.php em diretórios onde ele não existe nativamente no Wordpress

<?php
/*e8fac*/

@include ("/home/xxxxx/public_html/xxxxx/wp-includes/rest-api/.b466cb6f.ott");

/*e8fac*/

Esse caminho não aponta necessariamente para /rest-api  mas fica variando e pode ser para qualquer outro diretório e o arquivo as vezes é .inc. E também não é possível visualizar pelo cpanel mesmo exibindo arquivos ocultos, apenas por ssh é possível.

[abadan]

4 minutos atrás, RevendaHost disse:

Obrigado pela sugestão vou verificar.

Ah, eles utilizam as regras do Malware.Expert que você queria... 

[Marks]

Tenho utilizado o cPGuard tem funcionado muito bem, quando o arquivo está comprometido ele pode enviar para quarentena, se for arquivo padrão do WP ele consegue restaurar ao arquivo original, fazendo uma limpeza do código malicioso.

Muito bom, completo, pago 11$ por servidor com muita satisfação.