mod_security Un ensemble de règles pour Joomla! Admin

J'ai plusieurs serveurs d'hébergement et j'ai récemment connu de nombreuses attaques de force grossières sur des sites Web basés sur Joomla. Il semble que les attaquants essaient d'utiliser une force approximative contre

administrator/index.php

page.

Je bloque généralement les adresses IP quand ils essaient de trouver des logines Wordpress En utilisant le prochain ensemble de règles:

SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000134
<locationmatch "="" wp-login.php"="">
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000136"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000137"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</locationmatch>

Mais je ne trouve pas une règle similaire pour Joomla !, comme statut de réponse - «303 Voir autre "et avec un mot de passe, et avec un mot de passe incorrect.

De l'aide? Merci d'avance!
Invité:

Dominique

Confirmation de:

Alors, voici ma réponse.

Regarder à travers les titres de retour, j'ai remarqué que Joomla! Le backend retourne quelques titres HTTP, Lorsque la connexion est correcte et ne les renvoie pas lorsque la connexion n'est pas valide.

par exemple,
http://en.wikipedia.org/wiki/P3P
Le titre revient après une connexion réussie, alors je cherche juste sa longueur pour être

> 0

:

SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000144
<locationmatch "="" administrator="" index.php"="">
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000145,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
SecRule RESPONSE_HEADERS:P3P "streq 0" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000146"
SecRule RESPONSE_HEADERS:P3P "!streq 0" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000147"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</locationmatch>

Dominique

Confirmation de:

Le problème avec la réponse acceptée réside dans le fait qu'il ne prend pas en compte lorsque la page d'entrée est mise à jour. Donc, quand une personne met à jour la page de connexion, il est soit: 1) Réinitialiser le compteur (Qu'est-ce qui ne va pas), ou 2) considère la mise à jour en tant que connexion infructueuse (qui est aussi mauvais).

Nous venons de développer une règle pour traiter des attaques de force grossier sur Joomla, qui est basé sur la valeur du message "com_login". Si la valeur est dans la valeur du message, cela signifie que l'entrée a été infructueuse, sinon, l'entrée est réussie. La règle peut être trouvée
http://www.itoctopus.com/a-mod ... bsite
.

Pour répondre aux questions, connectez-vous ou registre