Bạn là một admin đang quản lý một hay nhiều server đang host các khách hàng thân thương của bạn .Bạn rất phiền lòng khi hiện nay hàng loạt các bug mới xuất hiện và mức độ nghiệm trọng ngày càng tăng. Làm thế nào để bảo vệ server của bạn tốt hơn ?. Tốn hàng đống tiền vào các ứng dụng tường lửa thương mại với nhiều tính năng mà hiện giờ bạn ko cần đến trong khi tài chính ko rộng rãi lắm. Vậy hãy trung thành với các ứng dụng mã nguồn mở.Hiện nay trên net xuất hiện hàng trăm application-layer firewall nguồn mở ,với sức mạnh của chúng đã cản bước N attacker và giảm bớt thiệt hại cho các services provider và tiết kiệm khói tiền cho bạn. Tiêu biểu hiện nay có mod security của Ivan Ristic và mod_block_worms của Juan R. Pozo. Đã có một số bài viết giới thiệu về mod_security rồi nên hôm nay tôi xin giới thiệu với các bạn về mod_block_worms. Mod_block_worms Mod_block_worms là một ứng dụng nguồn mở có các tính năng tương tự như mod security (quan trọng nhất là nó free ).Mod_b_w (tạm gọi tắt) hoạt động như là một add-on module của apache webserver. Nó cho phép chụp những yêu cầu HTTP ( bạn đưa ra điều kiện dưới dạng biểu thức chính quy - regulaer expression) trước khi được apache xử lý và hồi đáp đến người dùng ,sau đó cho phép bạn quy định kết quả trả về cho client (có thể là 500,403,404, hoặc đơn giản trả về trang trắng) .Theo tác giả thì module này cho phép giới hạn tác động của mã độc hại đến server ở mức giới hạn nhất có thể có, và có thể được sử dụng để ngăn chặn bất cứ yêu cầu không hợp lệ nào. Các yêu cầu không hợp lệ bị xử lý có thể được ghi nhật ký (log). Hướng dẫn setup và enable mod_block_worms: bạn down file tar của mod về = link sau http://html.conclase.net/cp/scripts/mod_block_worms.tgz sau đó giải nén vào thư mục tạm nào đấy (ví dụ trong /tmp/) tar zxf mod_block_worms.tgz biên dịch: $make all $make install That's OK ! rất đơn giản và nhẹ nhàng (mod_block_worms chỉ có 3kb ) Tiếp theo bạn open file httpd.conf và thêm vào Code: <IfModule mod_block_worms.c> BlockWormsSignature "shel.php" 500 BlockWormsSignature "nstview.php" 500 BlockWormsSignature "r57.php" 500 BlockWormsSignature "^/default.ida" 404 BlockWormsSignature "^/passwd$" 404 BlockWormsSignature "^/manual$" 404 BlockWormsSignature "^/backup.sql$" 404 BlockWormsLogFile /usr/local/apache/logs/block_worms_log </IfModule> Pattern trê chỉ mang tính tham khảo nhưng qua đó bạn có thể thấy được tính dễ dùng của mod_block_worms Cú pháp điều kiện của mod_block_worms: BlockWormsSignature "condition" error code condition: bạn dùng regular express để đặt điều kiện cho mod_block_worms xử lý nếu bạn chưa nghe đến regex ,vui lòng vào google search regular expressions ,hay bro nào có tài liệu send link lên ,mà đọc error code : mã trả về ,ngoài các status code của HTTP ,mod_block_worms dùng 0 để trả request về cho apache xử lý và đáp ứng bình thường , -1 để ngắt ngay yeu cầu mà ko cần thông báo đến người dùng BlockWormsLogFile /usr/local/apache/logs/block_worms_log là nơi để bạn lưu các request ko hợp lệ để tiện việc phân tích và xử lý sự cố về sau Hy vọng qua bài viết nhỏ này ,các admin sẽ có cái nhìn và hành động tích cực hơn ,đa số admin trực tiếp quản lý server cài mod_sec hay mod_block cho đẹp ,chứ request shell và command chạy ầm ầm ,bạn hãy tận dụng tốt module này để nâng cao độ bảo mật của server hơn , thân tips:Các bạn nên set các request mà yêu cầu shell như r57,c99,hay ... có status code là 500 ( hoặc 404 ) sẽ tốt hơn ,vì nếu terminated (-1) thì attacker có thể tò mò thay tên cho hợp với quy tắc là xong
Thế muốn cái này hoạt động thì bắt buộc phải nhờ đến bọn chủ server nó hack MOD này à ? Tẹo nữa gọi bọn chủ server vào đây xem để còn bảo mật cho tốt Thông báo quan trọng : http://thegioiquay.info/diendan is back
Skin cũ của nó , nhưng đã edit rất nhiều , về cơ bản thì không còn giống nó hồi xưa nữa Welcome bác PW , nếu bác đăng ký thì thật là Welcome đó !!! (Sao bác chưa đăng ký à ?)
