Zero-Day-Exploit Filter

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
VBTECH
Beiträge: 32
Registriert: 26. Mär 2013, 15:54

Zero-Day-Exploit Filter

Beitrag von VBTECH »

Hallo Martin,

versuche gerade Zero-Day-Exploit auszusperren, welcher bei heise gestern gemeldet wurde (http://www.heise.de/security/meldung/An ... 83732.html) nur greift der Filter leider nicht:

failregex = ^<HOST> -.*"(GET|POST)\/(%70|%68|%61|%74|%2D|%64|%6C|%6F|%77|%5F|%75|%72|%5F|%69|%6E|%63|%65|%3D|%73|%66|%6D|%2E|%6D|%62|%22|%2F|%3A|%27|%3C|%3E|%5B|%5C|%5D|%7B|%7C|%7D|%0|%A|%B|%C|%D|%E|%F|%28|%29).*".*$

Die Originalzeile sieht so aus:

XXX.XXX.XXX.XXX - - [06/Jun/2013:20:04:51 +0200] "POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 966 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"

Hast Du eine Idee?

Bekomme eine Fehlermeldung, die mir nicht weiterhilft!

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Zero-Day-Exploit Filter

Beitrag von Martin »

Hi,
also allgemein ist es natürlich schon zu spät, wenn der Eintrag im Log auftaucht und der Server für den Angriff verwundbar ist :-)

Das Prozentzeichen (%) muss in diesem Fall mit %% escapted werden.

Folgender Regex sollte greifen:

Code: Alles auswählen

failregex = ^<HOST> -.*"(GET|POST) \/.*(%%70|%%68|%%61|%%74|%%2D|%%64|%%6C|%%6F|%%77|%%5F|%%75|%%72|%%5F|%%69|%%6E|%%63|%%65|%%3D|%%73|%%66|%%6D|%%2E|%%6D|%%62|%%22|%%2F|%%3A|%%27|%%3C|%%3E|%%5B|%%5C|%%5D|%%7B|%%7C|%%7D|%%0|%%A|%%B|%%C|%%D|%%E|%%F|%%28|%%29).*".*
Allerdings wird sich der Code wahrscheinlich immer wieder ändern, das oft der Filter angepasst/erweitert werden muss, da der Code im Post Code wie:
php....safemod=off register_globals=on usw. ist
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

VBTECH
Beiträge: 32
Registriert: 26. Mär 2013, 15:54

Re: Zero-Day-Exploit Filter

Beitrag von VBTECH »

Hi

und danke für die Antwort. Der Exploit wirkt sich nicht bei uns aus.

Ziel ist die besonders häufig vorkommenden Buchstaben und Zahlen zu sperren, das sollte doch Zusatznutzen bringen.

also

%65 für e
%6E für n

http://de.wikipedia.org/wiki/Buchstabenh%C3%A4ufigkeit

Schau Dir mal den "Original-Aufruf" an; auch dort gibts diese statistische Häufigkeit bestimmter Zahlen und Buchstaben, d.h. e taucht z.B. mehrfach auf.

Der Filter greift bei uns.

No eine Frage für den Nicht-IT Fachmann: Warum schreibst Du am Ende der failregex - Zeile kein $

VBTECH
Beiträge: 32
Registriert: 26. Mär 2013, 15:54

Re: Zero-Day-Exploit Filter

Beitrag von VBTECH »

Neuerdings kommen die Jungs sogar getarnt als User Google:

"POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 962 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Filter hat auch da gegriffen

VBTECH
Beiträge: 32
Registriert: 26. Mär 2013, 15:54

Re: Zero-Day-Exploit Filter

Beitrag von VBTECH »

Jetzt kommen die mit dem Versuch sich als "msnbot" auszugeben daher :

Super Idee, nur greift der Filter auch da :lol:

"POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 966 "-" "msnbot/1.1 (+http://search.msn.com/msnbot.htm)"

Compet
Beiträge: 2
Registriert: 10. Aug 2013, 07:08

Re: Zero-Day-Exploit Filter

Beitrag von Compet »

Hallo,
zuerst sage ich einfach mal hier einen Guten Tag weil ich neu in diesem Forum bin.

Und natürlich über Tante Google dieses Forum gefunden hatte nachdem auch mein Server diese wundervolle Zeichenkette sich eingefangen hat.
Zwischenzeitlich viel Arbeit investierte um die vielen Spam-Mails zu löschen, den Postfix abgeschaltet, den www-run User die Rechte entzogen usw. usw.

Habe Fail2ban installiert und nun hänge ich an dem Problem in welche conf ich denn den Filter einbauen soll / kann.
Betreibe mehrere vhosts auf dem Server und in den vhosts_access.logs erscheint in schöner Regelmäßigkeit die hier genannte Post-URL.

Und bitte nicht antworten ... lies Dir die Anleitung durch. Eine kurze Erklärung wo und wie ich das machen soll hilft mir schon sehr viel weiter.
Ich sehe Fail2ban als mächtiges Werkzeug bei richtigem Einsatz und bis vor 2 Tagen wußte ich noch nicht einmal, dass es das überhaupt gibt.
Danke für Eure Hilfe.

VBTECH
Beiträge: 32
Registriert: 26. Mär 2013, 15:54

Re: Zero-Day-Exploit Filter

Beitrag von VBTECH »

Hi,

schau Dir die Logs einezeln an und überall, wo die Zeilen zu finden sind, machst Du analog einen Eintrag im Filter, dass diese Zeichen geblockt werden (in der Regel nginx, apache usw.).

Compet
Beiträge: 2
Registriert: 10. Aug 2013, 07:08

Re: Zero-Day-Exploit Filter

Beitrag von Compet »

Vielen Dank für die Antwort.

Mittlerweile habe ich es schon hinbekommen und der Filter funktioniert auch.
Auch andere Filter zeigen Wirkung.

Antworten