шеллкод

0

2

есть правило
-A INPUT -p tcp -m tcp --dport 80 -m string --string «\x» --algo kmp --to 65535 -j DROP

но в логах апача всё равно проскочила строчка с содержимым «H\xfd4+\x94\x85M\x1b\xa3K.......... итд

как исправить?

зы: это правило уже из iptables-save, так что \х передаются в 16-ричном виде изначально и правило настроено как надо. по крайней мере для компов в локальной сети оно работает, но некоторые умудряются каким-то образом передать этот код.....

Ссылка

←	Помогите с настройкой сети.

Внутренняя сеть XEN

→

--sport?

visual ★★★
(01.11.11 02:05:25 MSK)

Ответ на: комментарий от visual 01.11.11 02:05:25 MSK

в смысле

flant ★★★★
(01.11.11 02:21:43 MSK) автор топика

символ \xfd не содержит символа \x == x, это просто произвольный байт с кодом 0xFD, который присутствует в GET-запросе.

Adjkru ★★★★★
(01.11.11 02:31:12 MSK)

Ответ на: комментарий от flant 01.11.11 02:21:43 MSK

сори, не то подумал

попробуй «\\x»

visual ★★★
(01.11.11 02:31:19 MSK)

Ссылка

Ответ на: комментарий от Adjkru 01.11.11 02:31:12 MSK

как тогда фильтровать эту дрянь?

flant ★★★★
(01.11.11 02:40:36 MSK) автор топика

Ответ на: комментарий от Adjkru 01.11.11 02:31:12 MSK

--hex-string «|FD|»?

flant ★★★★
(01.11.11 02:41:46 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 02:41:46 MSK

это зарубит заодно и compressed data :)

Adjkru ★★★★★
(01.11.11 08:32:14 MSK)

Ссылка

Ответ на: комментарий от flant 01.11.11 02:40:36 MSK

На уровне iptables - никак, это произвольный набор байт же.

Adjkru ★★★★★
(01.11.11 09:39:57 MSK)

Ответ на: комментарий от Adjkru 01.11.11 09:39:57 MSK

а чё делать тогда? как-то пытался ставить снорт - не сложилось...

flant ★★★★
(01.11.11 10:20:11 MSK) автор топика

Ответ на: комментарий от flant 01.11.11 10:20:11 MSK

не ставить дырявые приложения, а если ставить их, то используя костыли аля suhosin(для php) и подобные. А вообще - запускать интерпретатор php не от юзера apache - это здравая идея. Ты подходишь к решению проблему не с того конца, ИМХО

Pinkbyte ★★★★★
(01.11.11 11:20:46 MSK)