تحسين قوانين المود سكيورتي لتقليل الضغط على الخادم
ModSec
مرحبا, في الفترة الماضية كنت اعمل على اعداد قوانين للمود سيكورتي, وبعد الانتهاء منها بدأت بمرحلة الاختبار والتنقيح. وفي اثناء تنفيذ بعض الاختبارات الصعبة لاحظت ان الطلب او ال Request يتأخر او يعتبر من الطلبات الثقيلة على الـ Apache.
وبعد بعض التجارب طلعت بحلول حلوة. بهذه التدوينة راح اشرح بعض الطرق لتحسين قوانين المودسيكورتي. بحيث لما تجي تكتب قوانين بنفسك تعرف ايش الطرق الي تعطيك قوانين نظيفة وسهلة التنفيذ على المعالج. لن ادخل في امثلة صعبة او معقدة.
مثال اول: لنفرض اننا لدينا القوانين التالية
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | START SecRule REQUEST_URI "\phpshell" SecRule REQUEST_URI "\commander\.php\?&cmd" SecRule REQUEST_URI "\r00r\.php\?&cmd=chmod" SecRule REQUEST_URI "\lolshell\.php\?&cmd=chown" SecRule REQUEST_URI "\phpshell\.php\?&cmd=ls&d" SecRule REQUEST_URI "\shell\.php\?&cmd=sql" SecRule REQUEST_URI "\r00r\.php\?&act=chmod" SecRule REQUEST_URI "\lolshell\.php\?&act=chown" SecRule REQUEST_URI "\phpshell\.php\?&act=ls&d" SecRule REQUEST_URI "\shell\.php\?&act=sql" SecRule REQUEST_URI "\r00r\.php\?&command=chmod" SecRule REQUEST_URI "\lolshell\.php\?&command=chown" SecRule REQUEST_URI "\phpshell\.php\?&command=ls&d" SecRule REQUEST_URI "\shell\.php\?&command=sql SecRule REQUEST_URI "\shell11234\.php\?&act" SecRule REQUEST_URI "\rootshell\.php\?&command" SecRule ARGS "\shell" SecRule REQUEST_LINE "/niceshell\.txt" END |
الأن لو جمعنا القوانين هذه سوف يكون لدينا 23 قانون. السؤال هنا, كيف نقوم بتحسينا ؟ الجواب هو عن طريق دمج ماسبق بداخل قانون واحد. كتالي
بعد التحسين:
1 2 3 4 5 | START SecRule REQUEST_URI|ARGS|REQUEST_LINE "/[A-Za-z0-9]\.(txt|php)\?&(cmd|command|act)=(chmod|chown|ls&d|sql&)" END |
مثل ماتلاحظون تم دمج 23 قانون بداخل قانون واحد بإستخدام الريجيكس
ولو اردنا إضافة تفاعل خاص مع القانون هذا, التفاعل يعني Action خاص بالقانون يتم تنفيذة في حالة تطابق ال REQUEST مع ال RULE المعين.
المثال الأخير: بعد إضافة التفاعل الخاص
1 2 3 4 5 6 | START SecRule REQUEST_URI|ARGS|REQUEST_LINE "/[A-Za-z0-9]\.(txt|php)\?&(cmd|command|act)=(chmod|chown|ls&d|sql&)" \ "deny,log,auditlog,msg:'Bad Request',id:'000000',severity:'2'" END |
وبهذا نكون اختصارنا 23 قانون بداخل قانون واحد مع إضافة تفاعل خاص مع القانون السابق.
وعند تنفيذ طلب معين سوف يمر على قانون واحد فقط بدل من ان يمر في 23 قاون
قد تكون كفكرة سهلة جداً. ولكن تنفيذها صعب جداً ويحتاج لإتقان التعامل مع regular expression في كتابة الأكواد.
ويجب ان تكون حذر جداً اثناء كتابة القوانين بهذا الشكل لأن اي خطأ قد يسبب مشاكل كثيرة ومن ضمنها توقف apache عن العمل. ولكن استخدام الاساليب هذه سوف تعطيك نتائج جيدة.
تحياتي, مصطفى.
السلام عليكم ورحمة الله وبركاته
تسلم ايدك يابوصطيف مجهود شخصى رائع ماقصرت حبيب قلبى
يعطيك العافية على الشرح الوافي
تقبل مروري
شكرا يا مصطفي علي المعلومات الجميله في المدونه هنا ويارب الي الاحسن والافضل
شكرا اخي الكريم
معلومات حلوه
ممكن تضع لنا رولز كامل وشكرا
يعطيك العافية اخي مصطفى لدي طلب ان امكنك تحقيقه هل يوجد لديك قواعد جيدة لموقعي ؟ موقعي عبارة عن منتدى vb4 + مدونتين ورد بريس آخر اصدار +سكربت ترايدنت لرفع الصور هل اجد لديك قواعد لوضعها لدي بالمود سكيوريتي انا نصبته لكن لا خلفية لي بتاتا بالقواعد اذا امكن تزودني بها
الله يعافيكم يااخوان.
@محمد
@مهند
في الحقيقة اعتذر لكم. لايوجد لدي قوانين غير التي اكتبها “لعملي”. على اي حال, هنالك قوانين نجاانية تقدمها المودسيكورتي نفسها وهي جيدة.
تجدونها على الرابط
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project#tab=Download
مصطفى.