6G Firewall


Firewall pełni funkcję zapory, który zapewnia ochronę przed atakami że strony robotów sieciowych, script kiddies oraz hakerów. Dlatego stosowanie firewalli stało się koniecznością i nikogo nie trzeba dziś przekonywać do ich stosowania. Wartym polecenia oraz wypróbowania jest rozwiązanie Jeffa Startą (http://perishablepress.com/6g/) 6G Firewall. Założeniem realizowanym przez Jeffa jest stworzenie uniwersalnego kodu dla pliku .htaccess, pozwalające chronić stronę internetową przed podejrzanym ruchem. Projekt 6G Firewall jest w pełni darmowy na licencji Open Source i można wykorzystać go na serwerach Apache.
Rozwiązanie 6G Firewall z powodzeniem można wykorzystywać w systemach CMS-owych takich jak WordPress czy Joomla. Należy a raczej zaleca się doklejenie poniższego kodu przed istniejącym w pliku .htaccess, który powinien być w głównym katalogu twojej strony internetowej.
# 6G FIREWALL/BLACKLIST
# @ https://perishablepress.com/6g/
# 6G:[QUERY STRINGS]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} (eval\() [NC,OR]
RewriteCond %{QUERY_STRING} (127\.0\.0\.1) [NC,OR]
RewriteCond %{QUERY_STRING} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]
RewriteCond %{QUERY_STRING} (thumbs?(_editor|open)?|tim(thumb)?)\.php [NC,OR]
RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REQUEST METHOD]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(connect|debug|move|put|trace|track) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REFERRERS]
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{HTTP_REFERER} (semalt.com|todaperfeita) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REQUEST STRINGS]
<IfModule mod_alias.c>
RedirectMatch 403 (?i)([a-z0-9]{2000,})
RedirectMatch 403 (?i)(https?|ftp|php):/
RedirectMatch 403 (?i)(base64_encode)(.*)(\()
RedirectMatch 403 (?i)(=\\\'|=\\%27|/\\\'/?)\.
RedirectMatch 403 (?i)/(\$(\&)?|\*|\"|\.|,|&|&amp;?)/?$
RedirectMatch 403 (?i)(\{0\}|\(/\(|\.\.\.|\+\+\+|\\\"\\\")
RedirectMatch 403 (?i)(~|`|<|>|:|;|,|%|\\|\s|\{|\}|\[|\]|\|)
RedirectMatch 403 (?i)/(=|\$&|_mm|cgi-|etc/passwd|muieblack)
RedirectMatch 403 (?i)(&pws=0|_vti_|\(null\)|\{\$itemURL\}|echo(.*)kae|etc/passwd|eval\(|self/environ)
RedirectMatch 403 (?i)\.(aspx?|bash|bak?|cfg|cgi|dll|exe|git|hg|ini|jsp|log|mdb|out|sql|svn|swp|tar|rar|rdf)$
RedirectMatch 403 (?i)/(^$|(wp-)?config|mobiquo|phpinfo|shell|sqlpatch|thumb|thumb_editor|thumbopen|timthumb|webshell)\.php
</IfModule>
# 6G:[USER AGENTS]
<IfModule mod_setenvif.c>
SetEnvIfNoCase User-Agent ([a-z0-9]{2000,}) bad_bot
SetEnvIfNoCase User-Agent (archive.org|binlar|casper|checkpriv|choppy|clshttp|cmsworld|diavol|dotbot|extract|feedfinder|flicky|g00g1e|harvest|heritrix|httrack|kmccrew|loader|miner|nikto|nutch|planetwork|postrank|purebot|pycurl|python|seekerspider|siclab|skygrid|sqlmap|sucker|turnit|vikspider|winhttp|xxxyy|youda|zmeu|zune) bad_bot
# Apache < 2.3
<IfModule !mod_authz_core.c>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</IfModule>
# Apache >= 2.3
<IfModule mod_authz_core.c>
<RequireAll>
Require all Granted
Require not env bad_bot
</RequireAll>
</IfModule>
</IfModule>
# 6G:[BAD IPS]
<Limit GET HEAD OPTIONS POST PUT>
Order Allow,Deny
Allow from All
# uncomment/edit/repeat next line to block IPs
# Deny from 123.456.789
</Limit>
Dokładnie przetestuj cały serwis i jego funkcjonalności po wdrożeniu rozwiązania 6G Firewall. Bez wątpienia zastosowanie kodu odpędzi znaczną część szkodliwego ruchu z witryny. W razie problemów posiłkując się stroną projektu, jak również samodzielnie próbuj rozwiązać problem konfliktu na swojej stronę www, bo rozwiązanie 6G Firewall jest warte zastosowania.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Zacznij tworzyć a nie psuć

Obraz
Programiści wywodzący się ze społeczeństwa Open Source, tworzą przede wszystkim systemy CMS, aby osoby, które nie znają technologii PHP i MySQL w łatwy sposób tworzyły serwisy internetowe oraz nimi zarządzali. Od ponad 10 lat milin osób wykorzystuje tego typu systemy do budowy stron i sklepów internetowych. Cieszy mnie to, że z roku na rok rośnie liczba użytkowników, u których rośnie świadomość bezpieczeństwa stron www . Najczęstszym powodem włamania jest lenistwo lub brak wiedzy ze strony projektanta, wydaje mi się czasami że rutyna robi swoje. Ze względu na to, że nie ma mechanizmów, które załatwią całą sprawę za ciebie, musisz wziąć się do roboty i zadbać przede wszystkim o to, aby uniknąć kilku typowych zagrożeń dla twojej strony internetowej , takich jak: SQL injection - Atak polega na wstrzyknięciu do aplikacji fragmentu zapytania SQL. Skutkuje to nieautoryzowanym dostępem w trybie odczytu lub zapisu do całej bazy danych. Cross-Site Scripting (XSS) - Atak polega na ws...
Czytaj więcej

Nasz kochany .htaccess

Obraz
Nie stój z boku, tylko podejmij próbę obrony plików WordPressa. Obejmij dodatkową ochroną pliki strategiczne dla bezpieczeństwa, bo tworzenie stron www to nie tylko budowa oparta na prawidłowej strukturze kodu. wp-config.php - zawiera konfigurację bazową w tym pełne informacje o bazie danych, .htaccess - zawiera dodatkowe reguły chroniące, które zaraz dodamy do niego. Wyedytuj plik .htaccess i za frazą RewriteEngine On na samej górze sugeruję dopisać poniższy kod: <Files .htaccess> order allow,deny deny from all </Files> <Files wp-config.php> order allow,deny deny from all </Files> Nieuprawniony dostęp do wyżej wymienionych plików mamy załatwiony, teraz pliki są zablokowane i wyświetli się strona błędu 403 nie uprawnionym ciekawskim. Nie zapomnij jeszcze zmienić uprawnienia dostępu dla plików z domyślnej wartości 644 na następujące : 600 (lub 400) - dla pliku wp-config.php 404 - dla pliku .htacces 600 - dla pliku php.ini Teraz pliki...
Czytaj więcej