шеллкод

0

2

есть правило
-A INPUT -p tcp -m tcp --dport 80 -m string --string «\x» --algo kmp --to 65535 -j DROP

но в логах апача всё равно проскочила строчка с содержимым «H\xfd4+\x94\x85M\x1b\xa3K.......... итд

как исправить?

зы: это правило уже из iptables-save, так что \х передаются в 16-ричном виде изначально и правило настроено как надо. по крайней мере для компов в локальной сети оно работает, но некоторые умудряются каким-то образом передать этот код.....

Ссылка

←	Помогите с настройкой сети.

Внутренняя сеть XEN

→

--sport?

visual ★★★
(01.11.11 02:05:25 MSK)

Ответ на: комментарий от visual 01.11.11 02:05:25 MSK

в смысле

flant ★★★
(01.11.11 02:21:43 MSK) автор топика

символ \xfd не содержит символа \x == x, это просто произвольный байт с кодом 0xFD, который присутствует в GET-запросе.

Adjkru ★★★★★
(01.11.11 02:31:12 MSK)

Ответ на: комментарий от flant 01.11.11 02:21:43 MSK

сори, не то подумал

попробуй «\\x»

visual ★★★
(01.11.11 02:31:19 MSK)

Ссылка

Ответ на: комментарий от Adjkru 01.11.11 02:31:12 MSK

как тогда фильтровать эту дрянь?

flant ★★★
(01.11.11 02:40:36 MSK) автор топика

Ответ на: комментарий от Adjkru 01.11.11 02:31:12 MSK

--hex-string «|FD|»?

flant ★★★
(01.11.11 02:41:46 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 02:41:46 MSK

это зарубит заодно и compressed data :)

Adjkru ★★★★★
(01.11.11 08:32:14 MSK)

Ссылка

Ответ на: комментарий от flant 01.11.11 02:40:36 MSK

На уровне iptables - никак, это произвольный набор байт же.

Adjkru ★★★★★
(01.11.11 09:39:57 MSK)

Ответ на: комментарий от Adjkru 01.11.11 09:39:57 MSK

а чё делать тогда? как-то пытался ставить снорт - не сложилось...

flant ★★★
(01.11.11 10:20:11 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 10:20:11 MSK

не ставить дырявые приложения, а если ставить их, то используя костыли аля suhosin(для php) и подобные. А вообще - запускать интерпретатор php не от юзера apache - это здравая идея. Ты подходишь к решению проблему не с того конца, ИМХО

Pinkbyte ★★★★★
(01.11.11 11:20:46 MSK)

Ответ на: комментарий от Pinkbyte 01.11.11 11:20:46 MSK

заплатки, это хорошо, конечно. но хотелось бы просто не допускать такой контент до самого приложения....

flant ★★★
(01.11.11 14:29:27 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 14:29:27 MSK

ну так и патчи apache и интерпретатор(php/python), чтобы не допускали такой код до приложения

Pinkbyte ★★★★★
(01.11.11 16:00:36 MSK)

Ответ на: комментарий от Pinkbyte 01.11.11 16:00:36 MSK

то есть для веб сервера сообщения в логах типа H\xfd4+\x94\x85M\x1b\xa3K это в порядке вещей?

flant ★★★
(01.11.11 17:59:46 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 17:59:46 MSK

а по-твоему в GET нельзя передавать бинарные данные?

Pinkbyte ★★★★★
(01.11.11 18:16:14 MSK)

Ссылка

Ответ на: комментарий от flant 01.11.11 17:59:46 MSK

я имею ввиду ТЕХНИЧЕСКИ. О практической и полезной стороне сего действа я не говорю...

Pinkbyte ★★★★★
(01.11.11 18:16:40 MSK)

Ответ на: комментарий от Pinkbyte 01.11.11 18:16:40 MSK

ладно, спасибо за помощь. будем патчить тогда

flant ★★★
(01.11.11 18:18:53 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 01.11.11 18:16:40 MSK

кстати, Pinkbyte, Вы не могли бы связаться со мной в скайпе ( flant_ ), хотелось бы задать несколько вопросов в нефуромном режиме

flant ★★★
(01.11.11 18:24:46 MSK) автор топика

Ссылка

man mod_rewrite
man mod_security

Rost ★★★★★
(02.11.11 01:59:26 MSK)

Ответ на: комментарий от Rost 02.11.11 01:59:26 MSK

s/man/google/g

Rost ★★★★★
(02.11.11 01:59:57 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите с настройкой сети.

Admin

Внутренняя сеть XEN

→

Похожие темы