Forum Debian Users Gang

Ten ficzer od DA jakoś niespecjalnie mi się podoba - miałem włączony brute_force i poszedł w cholerę, bo co chwila dostawałem jakieś maile z false positives. A akurat na wp-login.php niespecjalnie dobrze toto działa.
Jak zrobi taki log w Apaczu??? Bo serio nie wiem z której strony to ugryźć..

Edytka
OK już znalazłem - GlobalLog
Zobaczymy co mi z tego wyjdzie...

Ostatnio edytowany przez ethanak (2017-03-08 12:08:07)

Jacekalex napisał(-a):

Connlimity i hashlimity dla WP nie dają rady?

A niby jak miałyby dać radę? Muszę analizować wyłącznie POST do wp-admin.php i zależnie od odpowiedzi albo uznać host za prawidłowy (odpowiedź 302) albo za podejrzany (odpowiedź 200) i dopiero kilka podejrzanych zachowań w ciągu jednostki czasu powoduje blokadę danego IP.

Co do Modseca, to jeśli masz tam np Nginxa na frontendzie, to on też ma różne limity i regexy.

Niestety - mam tylko do SSL-a (nginx -> varnish -> apache)

Ja zawsze wp-login i wp-admin chowam albo za dodatkowym http-auth (da się zrobić praktycznie wszędzie), albo - moja ulubiona zabawa,
za certyfikatami PKCS#12 (na VPS albo dedyku, gdzie masz własny konfig serwera http).

To jest dobre jak mam własnego wordpressa sztuk jedna, a nie jak mam 150 wordpressów w tym chyba ze trzydzieści z woocommerce i otwartą rejestracją klientów.

PS.

Może wystarczy przebudować modseca ze źródełka? jak załapie nowe nagłówki, to może odżyć?
Zależy, czy to sam moduł się zjebał, czy reguły nie ogarniają sytuacji.

Nie wystarczyło. Z tego co wyczytałem to po prostu to wszystko się gryzie ze sobą.

Ale już mam pomysł jak to zrobić, powinno chodzić nawet lepiej niż oryginalny mod_security - taką przynajmniej mam nadzieję.
Jak się z tym uporam do końca to opiszę rozwiązanie - dlatego nie daję SOLVED.

Czy Ty w ogóle wiesz co to woocommerce?
Cenię Twoje zdanie (i nie chcąc kadzić naprawdę czekałem na Twoją opinię) - ale w tym momencie pieprzysz jak potłuczony.

Zrobione.
W konfie Apacza mam:

LogFormat "%{c}a %v %{sec}t %>s \"%r\"" wplog
SetEnvIf Request_URI "/wp-login\.php" wploginlog
GlobalLog /var/log/httpd/wplogin_log wplog env=wploginlog

%{c}a wrzuciłem, bo część zapytań przychodzi z maszyny z varnishem i program po prostu ignoruje takie rekordy.
Na logu nasłuchuje sobie prosty programik w Pythonie, który zlicza prawidłowe i nieprawidłowe logowania i w przypadku trzech nieprawidłowych w ciągu 5 minut wrzuca IP do jednego z dwóch ipsetów: pół godziny bana dla IP z Polski, godzina dla ip zagranicznych razem z całą klasą /24.

Na maszynie z varnishem i nginxem mam prawie identyczny program.

Zalety:
- łatwa modyfikacja (jak nadmieniłem, jest to prosty program w Pythonie)
- możliwość rozgraniczenia na IP polskie/zagraniczne i odpowiednia modyfikacja reakcji
- działa na etapie przyjęcia/odrzucenia pakietu czyli szybko i bez żarcia zasobów, a do tego współpracuje z varnishem.
Wady:
- jakie wady? :)

Jakby ktoś chciał kod to dajcie znać, bo w postaci takiej jaka jest nie nadaje się do publikacji, musiałbym parę linijek zmienić.

BTW. Kolego Jacekalex - Ty mnie chyba z kimś pomyliłeś. Ja pracuję jako admin/programista w firmie świadczącej usługi hostingowe dla klientów z wordpressami i w związku z tym nie do mnie należy przekonywanie klientów że inny soft jest lepszy (nawet jeśli - z czym się absolutnie zgadzam - czasami jest), a nie jako doradca do spraw wyboru softu przez klientów. Poza tym:
a) zamówienia nie są trzymane w wp_posts a w oddzielnej tabeli woocommerce'a;
b) gdyby tabela wp_posts nazywała się wp_objects, coś by to zmieniło oprócz historycznej nazwy?

Poza tym pisanie o Oscommerce w kontekście bezpieczeństwa to chyba lekka przesada ;)