تحسين قوانين المود سكيورتي لتقليل الضغط على الخادم

ModSec

ModSec

مرحبا, في الفترة الماضية كنت اعمل على اعداد قوانين للمود سيكورتي, وبعد الانتهاء منها بدأت بمرحلة الاختبار والتنقيح. وفي اثناء تنفيذ بعض الاختبارات الصعبة لاحظت ان الطلب او ال Request يتأخر او يعتبر من الطلبات الثقيلة على الـ Apache.

وبعد بعض التجارب طلعت بحلول حلوة. بهذه التدوينة راح اشرح بعض الطرق لتحسين قوانين المودسيكورتي. بحيث لما تجي تكتب قوانين بنفسك تعرف ايش الطرق الي تعطيك قوانين نظيفة وسهلة التنفيذ على المعالج. لن ادخل في امثلة صعبة او معقدة.

مثال اول: لنفرض اننا لدينا القوانين التالية

START

SecRule REQUEST_URI "\phpshell"
SecRule REQUEST_URI "\commander\.php\?&cmd"
SecRule REQUEST_URI "\r00r\.php\?&cmd=chmod"
SecRule REQUEST_URI "\lolshell\.php\?&cmd=chown"
SecRule REQUEST_URI "\phpshell\.php\?&cmd=ls&d"
SecRule REQUEST_URI "\shell\.php\?&cmd=sql"
SecRule REQUEST_URI "\r00r\.php\?&act=chmod"
SecRule REQUEST_URI "\lolshell\.php\?&act=chown"
SecRule REQUEST_URI "\phpshell\.php\?&act=ls&d"
SecRule REQUEST_URI "\shell\.php\?&act=sql"
SecRule REQUEST_URI "\r00r\.php\?&command=chmod"
SecRule REQUEST_URI "\lolshell\.php\?&command=chown"
SecRule REQUEST_URI "\phpshell\.php\?&command=ls&d"
SecRule REQUEST_URI "\shell\.php\?&command=sql
SecRule REQUEST_URI "\shell11234\.php\?&act"
SecRule REQUEST_URI "\rootshell\.php\?&command"
SecRule ARGS "\shell"
SecRule REQUEST_LINE "/niceshell\.txt"

END


الأن لو جمعنا القوانين هذه سوف يكون لدينا 23 قانون. السؤال هنا, كيف نقوم بتحسينا ؟ الجواب هو عن طريق دمج ماسبق بداخل قانون واحد. كتالي

بعد التحسين:

START

SecRule REQUEST_URI|ARGS|REQUEST_LINE "/[A-Za-z0-9]\.(txt|php)\?&(cmd|command|act)=(chmod|chown|ls&d|sql&)"

END

مثل ماتلاحظون تم دمج 23 قانون بداخل قانون واحد بإستخدام الريجيكس
ولو اردنا إضافة تفاعل خاص مع القانون هذا, التفاعل يعني Action خاص بالقانون يتم تنفيذة في حالة تطابق ال REQUEST مع ال RULE المعين.

المثال الأخير: بعد إضافة التفاعل الخاص

START

SecRule REQUEST_URI|ARGS|REQUEST_LINE "/[A-Za-z0-9]\.(txt|php)\?&(cmd|command|act)=(chmod|chown|ls&d|sql&)" \
        "deny,log,auditlog,msg:'Bad Request',id:'000000',severity:'2'"

END

وبهذا نكون اختصارنا 23 قانون بداخل قانون واحد مع إضافة تفاعل خاص مع القانون السابق.
وعند تنفيذ طلب معين سوف يمر على قانون واحد فقط بدل من ان يمر في 23 قاون

قد تكون كفكرة سهلة جداً. ولكن تنفيذها صعب جداً ويحتاج لإتقان التعامل مع regular expression في كتابة الأكواد.
ويجب ان تكون حذر جداً اثناء كتابة القوانين بهذا الشكل لأن اي خطأ قد يسبب مشاكل كثيرة ومن ضمنها توقف apache عن العمل. ولكن استخدام الاساليب هذه سوف تعطيك نتائج جيدة.

تحياتي, مصطفى.

مشاركة المحتوى
  • Digg
  • del.icio.us
  • Print
  • Technorati
  • Identi.ca
  • email
  • PDF
  • Add to favorites
  • Tumblr
هذه التدوينة كُتبت ضمن التصنيف Information Security. الأوسمة: , , , , , . أضف الرابط الدائم إلى المفضّلة.

أضف تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

*

يمكنك استخدام أكواد HTML والخصائص التالية: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre user="" computer="" escaped="">

6 تعليقات على: تحسين قوانين المود سكيورتي لتقليل الضغط على الخادم

  1. السلام عليكم ورحمة الله وبركاته

    تسلم ايدك يابوصطيف مجهود شخصى رائع ماقصرت حبيب قلبى

    هل أعجبك التعليق: Thumb up 0 Thumb down 0

  2. Mohd كتب:

    يعطيك العافية على الشرح الوافي

    تقبل مروري

    هل أعجبك التعليق: Thumb up 0 Thumb down 0

  3. احمد ابو المجد كتب:

    شكرا يا مصطفي علي المعلومات الجميله في المدونه هنا ويارب الي الاحسن والافضل

    هل أعجبك التعليق: Thumb up 0 Thumb down 0

  4. محمد كتب:

    شكرا اخي الكريم
    معلومات حلوه
    ممكن تضع لنا رولز كامل وشكرا

    هل أعجبك التعليق: Thumb up 0 Thumb down 0

  5. مهند كتب:

    يعطيك العافية اخي مصطفى لدي طلب ان امكنك تحقيقه هل يوجد لديك قواعد جيدة لموقعي ؟ موقعي عبارة عن منتدى vb4 + مدونتين ورد بريس آخر اصدار +سكربت ترايدنت لرفع الصور هل اجد لديك قواعد لوضعها لدي بالمود سكيوريتي انا نصبته لكن لا خلفية لي بتاتا بالقواعد اذا امكن تزودني بها

    هل أعجبك التعليق: Thumb up 0 Thumb down 0

  6. الله يعافيكم يااخوان.

    @محمد
    @مهند
    في الحقيقة اعتذر لكم. لايوجد لدي قوانين غير التي اكتبها “لعملي”. على اي حال, هنالك قوانين نجاانية تقدمها المودسيكورتي نفسها وهي جيدة.

    تجدونها على الرابط
    http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project#tab=Download

    مصطفى.

    هل أعجبك التعليق: Thumb up 0 Thumb down 0