Aujourd’hui un petit billet pour s’amuser un peu avec les scripts kiddies.<\/p>\n
Si vous h\u00e9bergez votre propre serveur web, vous avez s\u00fbrement remarqu\u00e9 l’acc\u00e8s ind\u00e9sirable \u00e0 votre serveur http par des requ\u00eates plus ou moins automatis\u00e9es dans le but de d\u00e9couvrir une faille potentielle.<\/p>\n
Dans le genre :<\/p>\n
\r\n[Sun Jul 12 06:26:57 2009] [error] [client 1.2.3.4] File does not\r\nexist: \/var\/www\/phpmyadmin\r\n[Sun Jul 12 06:26:58 2009] [error] [client 1.2.3.4] File does not\r\nexist: \/var\/www\/phpMyAdmin\r\n<\/pre>\nBien entendu, en bon admin que vous \u00eates, vous avez greff\u00e9 ModSecurity<\/a> sur votre Apache pr\u00e9f\u00e9r\u00e9, ce qui limite grandement la casse et renvoi le petit merdeux<\/span> bonhomme dans sa chaumi\u00e8re avec un joli code 400 :<\/p>\n\r\n[Wed Jul 15 19:30:36 2009] [error] [client 87.229.108.30] ModSecurity: Warning. Operator EQ match: 0. [id \"960009\"] [msg \"Request Missing a User Agent Header\"] [severity \"WARNING\"] [hostname \"1.2.3.4\"] [uri \"\/phpMyAdmin\/main.php\"] [unique_id \"6cDOIV4XBY0AABEgIhMAAAAD\"]\r\n[Wed Jul 15 19:30:36 2009] [error] [client 87.229.108.30] ModSecurity: Access denied with code 400 (phase 2). Pattern match \"^[\\\\\\\\d\\\\\\\\.]+$\" at REQUEST_HEADERS:Host. [id \"960017\"] [msg \"Host header is a numeric IP address\"] [severity \"CRITICAL\"] [hostname \"1.2.3.4\"] [uri \"\/phpMyAdmin\/main.php\"] [unique_id \"6cDOIV4XBY0AABEgIhMAAAAD\"]\r\n<\/pre>\nEt bien s\u00fbr coupl\u00e9 \u00e9galement \u00e0 un fail2ban<\/a> ou un ossec<\/a> dans les r\u00e8gles :<\/p>\n\/var\/ossec\/active-response\/ossec-hids-responses.log\r\nWed Jul 15 19:30:36 CET 2009\r\n\/var\/ossec\/active-response\/bin\/firewall-drop.sh add - 87.229.108.30<\/pre>\nPan, gant Mapa<\/a>, gravier<\/a> et bonjour chez toi<\/a>…<\/p>\nC’est bien mais moi, qu’on vienne m’emb\u00eater, je n’aime pas \u00e7a et sadique comme je sais l’\u00eatre, je suis assez fervent de rendre la monnaie de leur pi\u00e8ces a ces \u00ab\u00a0cliqueurs-de-truc-ki-marche-tout-seul-pour-hack\u00a0\u00bb<\/p>\n
Donc j’ai chercher un moyen de m’amuser avec eux et surtout, ce qui est le pire pour un spammeur\/script-kiddies, leur faire perdre du temps.<\/p>\n
Cette technique d’engluage, appel\u00e9e aussi \u00ab\u00a0sticky honeypot\u00a0\u00bb, est d\u00e9j\u00e0 utilis\u00e9e pour ralentir les vers, bots, etc… gr\u00e2ce \u00e0 l’excellent LaBrea<\/a>.<\/p>\nCe programme est ce que l’on appele un \u00ab\u00a0tarpit<\/a>\u00ab\u00a0. Un service r\u00e9seau dont le seul but est de ralentir la connexion a ce service aussi longtemps que possible.<\/p>\nEn effet, un spammeur pour qui l’envoi de masse et la rapidit\u00e9 sont primordiaux, si le serveur de mail en face met 10 secondes a lui r\u00e9pondre au lieu de 1 seconde, vous comprendrez qu’il a de quoi enrager…<\/p>\n
Bref, je vous invite \u00e0 lire les diff\u00e9rents articles sur les liens donn\u00e9es ci-dessus si vous voulez jouer avec cette technique (il y a m\u00eame un patch Tarpit pour iptables<\/a> \ud83d\ude09 )<\/p>\n\n- ModSecurity, la solution qui va bien<\/li>\n<\/ul>\n
Je cherchais une solution plut\u00f4t simple et rapide \u00e0 mettre en oeuvre (apr\u00e8s tout, ce n’est qu’un Proof of Concept \ud83d\ude00 ), et utilisant d\u00e9j\u00e0 ModSecurity, il devait exister un moyen de combiner tout cela.<\/p>\n
Apr\u00e8s avoir fouill\u00e9 la documentation et effectu\u00e9 quelques recherches sur le Nain Ternet, j’ai d\u00e9couvert une option magique de ModSecurity : \u00ab\u00a0pause\u00a0\u00bb.<\/p>\n
Avant toutes choses, je vous invite fortement \u00e0 utiliser l’excellentissime ModSecurity sur vos serveurs Apache. Vous trouverez de tr\u00e8s bons articles et documentation sur le site de Breach<\/a> (l’\u00e9diteur de ModSecurity, chez HSC<\/a>, ou le tuto de Lindev<\/a>.<\/p>\nPour r\u00e9sumer, ModSecurity est un filtre qui va intercepter les requ\u00eates adress\u00e9es \u00e0 votre serveur Apache et v\u00e9rifier dans une liste de r\u00e8gles pr\u00e9-d\u00e9finies ou \u00e9crites par vous si elles correspondent et r\u00e9agir en cons\u00e9quence.<\/p>\n
Contre les injections SQL, les attaques transversales ou tout les petits trucs joyeux du monde web, c’est quand m\u00eame ce qu’il se fait de mieux.<\/p>\n
Bref, Modsecurity permet de d\u00e9finir ses propres \u00ab\u00a0SecRule\u00a0\u00bb et c’est cela que nous allons utiliser pour retarder les requ\u00e8tes.<\/p>\n
Je consid\u00e8re que votre module ModSecurity est actif et fonctionnel.<\/p>\n
Basons nous sur les scans \u00ab\u00a0RoundCube\u00a0\u00bb qui tourne actuellement suite \u00e0 des failles de s\u00e9curit\u00e9 d\u00e9couvertes dans le Webmail (http:\/\/isc.sans.org\/diary.html?storyid=5659<\/a>).<\/p>\nJ’utiliserais le fichier .\/modsecurity.d\/modsecurity_crs_15_custom_rules.conf pour int\u00e9grer mes r\u00e8gles :<\/p>\n
\r\nSecRule REQUEST_URI \"\/roundcube\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/roundcubemail\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/roundcubemail-0.1\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/roundcubemail-0.2\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/roundcube-0.1\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/roundcube-0.2\" \"pause:30000,log,status:400,deny\"\r\nSecRule REQUEST_URI \"\/round\" \"pause:30000,log,status:400,deny\"\r\n<\/pre>\nPetite explication.<\/p>\n
– Je d\u00e9finis une r\u00e8gle de s\u00e9curit\u00e9 par le champ \u00ab\u00a0SecRule\u00a0\u00bb<\/p>\n
– Je demande a ModSecurity de v\u00e9rifier les requ\u00eates qui contiennent le chemin \/round, \/roundcube, etc..<\/p>\n
– Si la r\u00e8gle match, on attend 30000 millisecondes, on log, on sort une erreur 400 et un acc\u00e8s refus\u00e9.<\/p>\n
Ne reste plus qu’a tester \ud83d\ude00\u00a0 :<\/p>\n
\r\nguiguiabloc@bofh:~$ wget -E -H -k -K -p http:\/\/monserveur.net\/round\r\n--15:05:54--\u00a0 http:\/\/monserveur.net\/round\r\n=> `monserveur.net\/round'\r\nR\u00e9solution de monserveur.net... 12.34.56.67\r\nConnexion vers monserveur.net|12.34.56.67|:80...connect\u00e9.\r\nrequ\u00eate HTTP transmise, en attente de la r\u00e9ponse...400 Bad Request\r\n15:06:25 ERREUR 400: Bad Request.\r\n\r\nTermin\u00e9 --15:06:25--\r\nT\u00e9l\u00e9chargement: 0 octets dans 0 fichiers\r\n<\/pre>\nAh Ah Ah ! Je me gausse \ud83d\ude42 \ud83d\ude42 \ud83d\ude42<\/p>\n
Ou comment faire perdre du temps aux scanners web…<\/p>\n
Je sais, ce n’est qu’une goutte d’eau dans le vase immense du Nain Ternet mais c’est fichtrement amusant…<\/p>\n
Amusez vous bien \ud83d\ude00<\/p>\n
PS : Ce billet me permet en m\u00eame temps de remercier les colles Cleopatre<\/a> pour toutes ses ann\u00e9es d’\u00e9cole pass\u00e9es a les renifler :-p<\/p>\n","protected":false},"excerpt":{"rendered":"Aujourd’hui un petit billet pour s’amuser un peu avec les scripts kiddies. Si vous h\u00e9bergez votre propre serveur web, vous avez s\u00fbrement remarqu\u00e9 l’acc\u00e8s ind\u00e9sirable \u00e0 votre serveur http par des requ\u00eates plus ou moins automatis\u00e9es dans le but de … Read More