小编注:本文作者系FreeBuf专栏作者 @碳机体 美眉,目前她的研究方向主攻云防火墙。对文章内容有不清楚的可以直接评论区中留言,注意秩序和素质。
本次选择使用包管理器来安装,因为每次使用源码包的安装方式,都会被诡异的库依赖错误弄得发型都抓乱。
OS:Ubuntu 14.04.1 LTS
Apache: Apache/2.4.7 (Ubuntu)
第一步:安装libapache2-modsecurity模块及其依赖包
apt-get install libxml2 libxml2-dev libxml2-utils libaprutil1 libaprutil1-dev libapache2-modsecurity
我们可以使用以下命令查看一下modsecurity的当前版本
dpkg -s libapache2-modsecurity | grep Version
第二步:配置modsecurity,启用拦截模式
service apache2 reload
cd /etc/modsecurity/mv modsecurity.conf-recommended modsecurity.confvim /etc/modsecurity/modsecurity.conf 修改SecRuleEngine On
第三步:使用modsecurity核心规则集
核心规则集的详细介绍参见:
ModSecurity CRS 笔记、WAF防御checklist,及WAF架构的一些想法
将我们想起用的规则集放置在以下目录下
cd /usr/share/modsecurity-crs/activated_rules/
选择启用base规则集
for f in $(ls ../base_rules/); do ln -s ../base_rules/$f; done
你可以采用同样的办法启用其他规则集,注意不同的规则集可能需要启用特定的模块
修改apache模块配置,启用规则集
注意:modsecurity 2.7版本与2.6版本的配置文件有些区别
(1)2.7版本
vim /etc/apache2/mods-available/security2.conf
修改
<IfModule security2_module> # Default Debian dir for modsecurity's persistent data SecDataDir /var/cache/modsecurity # Include all the *.conf files in /etc/modsecurity. # Keeping your local configuration in that directory # will allow for an easy upgrade of THIS file and # make your life easier IncludeOptional /etc/modsecurity/*.conf IncludeOptional /usr/share/modsecurity-crs/*.conf IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf </IfModule>
(2)2.6版本
vim /etc/apache2/mods-available/mod-security.conf
修改
Include /etc/modsecurity/*.conf
Include /usr/share/modsecurity-crs/*.conf
Include /usr/share/modsecurity-crs/activated_rules/*.conf
第四步:启用modsecurity模块
a2enmod headersa2enmod security2 (版本2.6: a2enmod mod-security)service apache2 restart
第五步:测试真实的攻击payload
看是否能拦截
http://www.tanjiti.com/?case=archive&act=orders&aid[typeid`%3D1%20and%20ord(mid((select/**/concat(username,0x3a,password)%20from%20cmseasy_user),1,1))%3C49%23]=1
我们发现请求包被403拦截了,
可以查看modsecurity日志文件看具体的拦截情况
tail /var/log/apache2/modsec_audit.log
对于网站结构比较了解的站长们,完全可以自定义规则,特别是白名单规则来防护我们的网站。
第六步:自定义WAF规则
规则语法快速入门参考 ModSecurity SecRule cheatsheets
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
添加规则
SecRule FILES "!\\.(?i:jpe?g|gif|png|bmp)$" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'upload no-picture file',id:0000001,phase:2"
测试,上传php文件
(http的使用参照HTTP发包工具 -HTTPie)
http www.tanjiti.com filename@a.php
我们可以看到请求包被拦截,查看modsecurity日志
more /var/log/apache2/modsec_audit.log
可以看到命中了规则0000001
Message:Access denied with code 403(phase 2).Match of "rx \\.(?i:jpe?g|gif|png|bmp)$" against "FILES:filename" required.[file "/usr/share/modsecurity-crs/activated_rules/MY.conf"][line "1"][id "0000001"][msg "upload no-picture file"][tag "WEB_ATTACK/FILEUPLOAD"]
WAF规则实例2: 上传文件名中包含%00进行阻断
vim /usr/share/modsecurity-crs/activated_rules/MY.conf
添加规则
SecRule FILES "@contains %00" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'filename has null character',id:0000002,phase:2"
测试,上传文件名包含%00的文件
http www.tanjiti.com filename@a.php%00.jpeg
我们可以看到请求包被拦截,查看modsecurity日志
more /var/log/apache2/modsec_audit.log
可以看到命中了规则0000002
Message: Access denied with code 403 (phase 2). String match "%00" at FILES:filename. [file "/usr/share/modsecurity-crs/activated_rules/MY.conf"] [line "2"] [id "0000002"] [msg "filename has null character"] [tag "WEB_ATTACK/FILEUPLOAD"]
非常简单吧,下一步,计划介绍一下nginx服务器的防护。