Ir para conteúdo
  • Cadastre-se

Regras ModSecurity Comodo ainda funcionam?


Leo Amarante

Posts Recomendados

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link para o comentário
Compartilhar em outros sites

24 minutos atrás, chuvadenovembro disse:

Eu continuo usando e pra mim tem atendido bem.

Eventualmente faz aquele bloqueio maroto de coisas que não deveria, mas pra mim ainda ta suave.

Tanto no cpanel quanto no directadmin, não precisa mais de login, é só fazer a instalação.

Opa, blz @chuvadenovembro ? Quanto tempo kkkk!

Então, estou configurando um vps com cpanel aqui para uma agência que desenvolve e hospeda sites em wordpress e CodeIgniter.  Eles estavam usando um vps sem qualquer config de segurança, só CSF,  e sofreram um ataque nos sites, estavam adicionando vários arquivos upl.php e ai já sabe o estrago.  Configurei as regras padrão da OWASP mas gerou muitos falsos positivo. 

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Pode me confirmar se o link do Vendor https://waf.comodo.com/doc/meta_comodo_apache.yaml é esse mesmo?
Procurei mas não achei nada atualizado sobre falso positivos ou regras que devem ser desabilitadas em ambiente compartilhado. 

Link para o comentário
Compartilhar em outros sites

Em todos nossos servidores de hospedagem compartilhada temos utilizado o Imunify360. Anterioremente utilizávamos o Comodo, era bom, porém com muitos falso positivos.

A vantagem do Imunify360 é que se o cliente fizer login no painel já vai pra whitelist do firewall e caso ele faça algo como admin que gere um falso positivo não é bloqueado o acesso dele.

Porém para um VPS o custo do Imunify fica meio caro.

Link para o comentário
Compartilhar em outros sites

O link do comodo está correto sim.

Então Leo, se for wordpress e estiver sendo explorado, acredito que somente com regras do modsecurity não vai conseguir resolver o problema, será necessário blindar o site (estou assumindo que seja wp, porque atualmente quase todos os problemas de exploração dos sites são wp com plugins, temas e próprio wp desatualizado e sem blindagem).

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link para o comentário
Compartilhar em outros sites

Recentemente enfrento o mesmo problema, com algum sites sendo injetados arquivos upl.php, ubh.php, info-rex.php, infonew.php, worker.php. Quando isso acontece em alguns casos são criados usuários em alguns sites e todos os plugins desativados, inclusive Wordfance e Sucur, e códigos injetados nos arquivos do Wordpress o que da um baita trabalho para remover.

Waf com regras da comodo não resolvem, firewall não resolve, imunify não resolve. Só conseguimos segurar um pouco isso bloqueando algumas funções via php, mas depois de um tempo os problemas ocorrem novamente mudando a técnica de invasão, até porque o problema geralmente vai acontece de dentro para fora, com algo já camuflado junto aos arquivos do site

É algo bem complicado.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

6 horas atrás, Leo Amarante disse:

Em um fórum gringo recomendaram as regras do Malware.expert que tem custo de $10 doletas por mês, não é caro mas como não conheço... aí lembrei da comodo, no site ainda mencionam o projeto mas parece que está sem atualizações recentes.

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

Link para o comentário
Compartilhar em outros sites

15 minutos atrás, abadan disse:

Vi aqui fórum vários elogios para o cpguard. Se for menos de 50 contas, são 6 dólares por mês.
Pode valer a pena utilizar a avaliação gratuita e ver se resolve a tua bronca.

Obrigado pela sugestão vou verificar.

Aqui tenho muitas ocorrências desse tipo de linha sendo injetado em todos os arquivos index.php do Wordpress e sendo criados outros index.php em diretórios onde ele não existe nativamente no Wordpress

<?php
/*e8fac*/

@include ("/home/xxxxx/public_html/xxxxx/wp-includes/rest-api/.b466cb6f.ott");

/*e8fac*/

Esse caminho não aponta necessariamente para /rest-api  mas fica variando e pode ser para qualquer outro diretório e o arquivo as vezes é .inc. E também não é possível visualizar pelo cpanel mesmo exibindo arquivos ocultos, apenas por ssh é possível.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

Tenho utilizado o cPGuard tem funcionado muito bem, quando o arquivo está comprometido ele pode enviar para quarentena, se for arquivo padrão do WP ele consegue restaurar ao arquivo original, fazendo uma limpeza do código malicioso.

Muito bom, completo, pago 11$ por servidor com muita satisfação.

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?