Mod_Security Vs Timbthumb

[chuvadenovembro]

Pessoal,

O gerenciamento de um dos meus servidores, colocou regras no mod_security, que aparecem desta forma no plugin do whm:

#RBL Rules

#Include /usr/local/apache/conf/modsec_rules/00_asl_rbl.conf

#Whitelisting Rules

Include /usr/local/apache/conf/modsec_rules/00_asl_whitelist.conf

#Exclusion Rules

Include /usr/local/apache/conf/modsec_rules/05_asl_exclude.conf

#Scan uplaoded files with clamav

Include /usr/local/apache/conf/modsec_rules/05_asl_scanner.conf

#Malware Blacklist Rules

Include /usr/local/apache/conf/modsec_rules/10_asl_antimalware.conf

#Web Application Protection Rules

Include /usr/local/apache/conf/modsec_rules/10_asl_rules.conf

#Bad Useragent Signatures

Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf

#Additional Malware Blacklisting Rules

#Include /usr/local/apache/conf/modsec_rules/30_asl_antimalware.conf

#Anti-spam Signatures

Include /usr/local/apache/conf/modsec_rules/30_asl_antispam.conf

#Enhanced Apache 2.x rules

Include /usr/local/apache/conf/modsec_rules/40_asl_apache2-rules.conf

#Anti Rootkit Signatures

Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf

#"Google Hacks" signatures

Include /usr/local/apache/conf/modsec_rules/60_asl_recons.conf

#Just In Time Patches

Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf

#Domain Spam Whitelist

Include /usr/local/apache/conf/modsec_rules/domain-spam-whitelist.conf

#Trusted domains

Include /usr/local/apache/conf/modsec_rules/trusted-domains.conf

# ConfigServer ModSecurity whitelist file

Include /usr/local/apache/conf/modsec2.whitelist.conf

Eu procurei em cada arquivo desses, a palavra "timthumb" p/ verificar o numero da regra e poder adicionar na lista branca, mas não fui feliz.

P/ domínios que utilizam timthumb, as imagens só aparecem se eu excluir o domínio de todas as regras do mod_security

Alguém tem alguma sugestão que mantenha o servidor e o domínio seguro "Mas que funcione com a versão atualizada do timthumb"?

:)

[avonni]

Chuva, aparentemente eles estão utilizando as regras da Atomicorp.

Eu não tenho certeza mas deve ser a regra 340151 (arquivo 10_asl_rules.conf).

Faça um teste desabilitando essa regra específica e veja se resolve.

[chuvadenovembro]

Opa Ysaac,

Tentei a sorte por aqui, mas não fui feliz:

A regra que tu comentou, tem este comteúdo:

# Rule 340151: Generic PHP code injection protection in URI w/ anti-evasion

SecRule REQUEST_FILENAME|REQUEST_URI "!(?:^/signup\.php|^/go\.php\?u=affilorama&t=http://)" \

		 "id:340151,t:normalisePath,t:replaceNulls,t:htmlEntityDecode,t:urlDecodeUni,t:compressWhiteSpace,t:lowercase,chain,rev:15,severity:2,msg:'PHP Injection attempt in URI'"

SecRule REQUEST_URI "(?:\.php(?:3|4|5)?(?:\?|&)|^/(?:\?|&)).*=(?:ogg|gopger|zlib|(?:ht|f)tps?)\:/" chain

SecRule REQUEST_URI "!(?:/imp/compose\.php|/tiki-(?:objectpermissions|editpage)|/cowadmin/editor/.*/editor|index\.php\?url=|aardvarkts/install/index|/do_command|banner_click|wp-login|tiki-view_cache|/horde/index|/horde/services/go|/goto|gallery2?/main|ad-?server/adjs|signup\.php|calendar/index\.php\?act=calendar&code=edit&cal_id=.*&event_id=|cgi-bin/stats\.cgi\?id=shop&loc=http)" chain

#SecRule ARGS "!@pmFromFile trusted-domains.conf" chain

SecRule ARGS|!ARGS:url|!ARGS:base_url|!ARGS:outbound|!ARGS:out|!ARGS:referer|!ARGS:serverurl|!ARGS:referrer|!ARGS:team[logo]|!ARGS:team[url]|!ARGS:helpurl|!ARGS:helpbox|!ARGS:website|!ARGS:return|!ARGS:url2send|!ARGS:attach-url|!ARGS:ureferrer|!ARGS:comment|!ARGS:basehref|!ARGS:redirect|!ARGS:refertoyouby|!ARGS:ajaxurl||!ARGS:product[media_gallery][images]|!ARGS:oaparams|!ARGS:loc|!ARGS:backurl "(?:ogg|gopher|zlib|(?:ht|f)tps?)\:/"

Coloquei o numero da regra no whitelist do CMC, mas não teve nenhum resultado :(

OBS: A remoção da conta do mod_security eu estou fazendo por ele também.

[avonni]

Chuva, então você pode ter certeza de qual regra está causando o problema dando uma analisada diretamente nos logs do Mod_security (WHM > Plugins > Mod Security, ou no seu caso, WHM > Plugins > ConfigServer ModSec Control).

Em ambos os casos, é só procurar por "timthumb" nos logs de algum domínio que você sabe que está apresentando problemas, e ver qual regra está sendo ativada.

Ela aparece no seguinte formato: [id "321654"], então é só dar uma pesquisada e fazer uns testes pra ver se desabilitando a regra o problema é resolvido.

[chuvadenovembro]

Opa Ysaac,

Confesso que eu não sabia como analisar este log

Agora consegui resolver, eram as regras "340026 e 340148"

Funcionou legal agora :)

Obrigado

[edvan]

Opa Ysaac,

Confesso que eu não sabia como analisar este log

Agora consegui resolver, eram as regras "340026 e 340148"

Funcionou legal agora :)

Obrigado

Chuva veja esse script "automatizado" http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html você poderá rodar via web ou shell. Bem interessante!

[chuvadenovembro]

Chuva veja esse script "automatizado" http://www.php-begin...attack-fix.html você poderá rodar via web ou shell. Bem interessante!

Putz Edvan,

Tentei acessar este link ae, mas recebi um aviso aqui:

Mas se a ideia é substituir os timthumbs do servidor, eu cheguei a rodar um script um tempo atras aqui que fazia isso, mas mesmo assim, com o arquivo novo, as regras ainda não deixavam as imagens serem exibidas, neste caso, estou ajustando manualmente no CMC quando há solicitações.

Mesmo assim, fazendo alguns testes, este endurecimento do servidor me deixou um pouco frustrado, porque dependendo do erro que o mod_security registra, ele bloqueia seu IP imediatamente e isso começa a dar a impressão que o servidor está offline :P

Por outro lado, temos este script que é uma porta para o inferno e sem nenhuma alternativa heheheheheh

[edvan]

Putz Edvan,

Tentei acessar este link ae, mas recebi um aviso aqui:

Mas se a ideia é substituir os timthumbs do servidor, eu cheguei a rodar um script um tempo atras aqui que fazia isso, mas mesmo assim, com o arquivo novo, as regras ainda não deixavam as imagens serem exibidas, neste caso, estou ajustando manualmente no CMC quando há solicitações.

Mesmo assim, fazendo alguns testes, este endurecimento do servidor me deixou um pouco frustrado, porque dependendo do erro que o mod_security registra, ele bloqueia seu IP imediatamente e isso começa a dar a impressão que o servidor está offline :P

Por outro lado, temos este script que é uma porta para o inferno e sem nenhuma alternativa heheheheheh

O AVG tem essas doidices... é um alerta falso! Certamente porque o site cita exemplos ( em caixa de texto ) com códigos resumidos de como funciona o ataque!

Esse script é bem interessante, ele vasculha todos os arquivos dos diretórios a procura do código malicioso utilizados em 7 tipos de ataque.

Tirei um screenshot http://awesomescreenshot.com/03bcq2h54

Vou te passar o link direto do download:

- Versão WEB: http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html?aid=372&pid=211&sa=0 ( Example: http://www.yoursite.com/cleaner_2.10.php )

- Versão Shell: http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html?aid=373&pid=211&sa=0 ( Example: $ time php cleaner-cli_2.10.php 2>&1 >> cleaner_log)

[chuvadenovembro]

O AVG tem essas doidices... é um alerta falso! Certamente porque o site cita exemplos ( em caixa de texto ) com códigos resumidos de como funciona o ataque!

Esse script é bem interessante, ele vasculha todos os arquivos dos diretórios a procura do código malicioso utilizados em 7 tipos de ataque.

Tirei um screenshot http://awesomescreenshot.com/03bcq2h54

Vou te passar o link direto do download:

- Versão WEB: http://www.php-begin...72&pid=211&sa=0 ( Example: http://www.yoursite....leaner_2.10.php )

- Versão Shell: http://www.php-begin...73&pid=211&sa=0 ( Example: $ time php cleaner-cli_2.10.php 2>&1 >> cleaner_log)

Vou testar aqui Edvan

P/ rodar o arquivo via shell eu coloco ele na pasta /home do servidor? e executo este comando de exemplo?

time php cleaner-cli_2.10.php 2>&1 >> cleaner_log

Obrigado pela dica :)

[edvan]

Vou testar aqui Edvan

P/ rodar o arquivo via shell eu coloco ele na pasta /home do servidor? e executo este comando de exemplo?

time php cleaner-cli_2.10.php 2>&1 >> cleaner_log

Obrigado pela dica :)

Veja:

• Download Cleaner CLI 2.10 Version below
  and run it using terminal or command line.
  
  
  Example:
  $ time php cleaner-cli_2.10.php 2>&1 >> cleaner_log
  
  
  The command above will run the cleaner-cli_2.10.php script and log the output to
  cleaner_log
  file.
  
  
  
  
  Title
  :
  cleaner-cli_2.10
  
  
  Caption
  :
  
  
  File name
  : cleaner-cli_2.10.zip
  
  
  Size
  : 2 kB
  
  

Note:

Please don’t forget to create a backup of your wordpress files or /wp-content/ directory only. Use shell access to backup files because it is fast and easy.

You can do it like this: $ tar -cvzf [output_directory.tar.gz] [directory]

[~/wordpress-directory]# tar -cvzf wp-backup-content-only.tar.gz ./wp-content

or

[~/wordpress-directory]# tar -cvzf wp-backup-all.tar.gz ./

This malware / malicious cleaner script works on all php programs, you can run it even if it’s a non-wordpress sites, but please create a backup of your files before you run the cleaner script, just to make sure you can recover it easily.

If you experienced any malware / malicious program that I don’t know, please let me know so that I can add it on the program. Thanks.