contents
- またまた海外からの攻撃です
- UAでRewriteさせる ⇦今ここ
前回はshellshockで来ていたこと、UAに設定されていた内容をみました。
今回は本題です。apacheのrewriteを使って、UAに特定の文言があったら404にリダイレクトさせます。
そもそもshellshockで狙ってくる言語でいうとperl、phpを使ってOSのコマンドを実行するという攻撃かと思います。
なので、UAにperlやphpというコードを仕込んできたら悪意満々のアクセスとして対応しちゃおうと考えました。
またwgetについてもこちらとしては危険なコマンドに変わりないため、UAにwgetが含まれていたら404にリダイレクトさせるようにします。
本当はapacheの前で遮断できるのが望ましいんですけどね。
IPで遮断だとイタチごっこになってしまうし、うーんという感じです。
apacheのconfファイルに設定をしていくわけですが、UA項目を判断するためのキー項目は%{HTTP_USER_AGENT}
になります。
これをrewriteの条件としてRewriteCondにセットします。
RewriteCondの設定例は次のようになります。
RewriteCond %{HTTP_USER_AGENT} php
今回は、複数の文言を対象にするため、[OR]を使います。
[OR]を使用しないとrewriteがうまくされず、apache側のエラーとなって起動に失敗する原因となりますので、必ず入れるようにしてください。[OR]を使ってconfファイルへ設定するとこんな感じになります。
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} wget [OR] RewriteCond %{HTTP_USER_AGENT} perl [OR] RewriteCond %{HTTP_USER_AGENT} php
RewriteRule ^(.*)$ /404.html [R=404,L]
RewriteCond %{HTTP_USER_AGENT} wget [OR] RewriteCond %{HTTP_USER_AGENT} perl [OR] RewriteCond %{HTTP_USER_AGENT} php
RewriteRule ^(.*)$ /404.html [R=404,L]
前回の攻撃の時の記事にも書きましたが、設定したあとはapacheのreloadもしくは、再起動を行ってください。
新着情報
ブログランキングに参加しています。クリックして応援していただけると嬉しいです。
人気ブログランキング
にほんブログ村