Thema: mod_security und 403

Hallo,

vielleicht findet sich ein Kundiger, der weiterhelfen kann...
Wir waren Opfer des Angriffs auf Extcal im Sommer. Reparatur ist letztendlich gelungen. Unser Serverbetreiber hat daraufhin über modsecurity aus seiner Sicht verdächtige Zugriffe unterbunden - und zwar "--" und "union" in den post- und get-requests. Ergebnis war allerdings, dass für Autoren dann häufig mit 403 Schluß war :-(
Heißt das, dass Joomla (1.0.11) selber solche "verdächtigen" requests produziert? kann man was dagegen tun? Und - welche modsecurity-Einstellungen wären überhaupt sinnvoll?
Im Forum gewühlt hab ich schon, bin auch über den höchst interessanten Sicherhheitsthread unter
http://www.joomlaportal.de/sicherhei...icherheit.html
gestolpert, aber zu modsecurity scheint es noch nicht viel zu geben.
Danke vorab,

MfG,
uwe

Danke, Namensvetter :-)

Gibt es irgendwo ein Beispiel für eine im Zusammenhang mit Joomla sinnvolle Konfiguration von modsecurity (jenseits von RTFM ;-))? Also eine rel. sichere, bei der aber Joomla auch noch zuverlässig läuft...
Die könnte ich dann unserem Serverbetreuer empfehlen...

MfG
Uwe

Zitat von uk63

Danke, Namensvetter :-)

Gibt es irgendwo ein Beispiel für eine im Zusammenhang mit Joomla sinnvolle Konfiguration von modsecurity (jenseits von RTFM ;-))? Also eine rel. sichere, bei der aber Joomla auch noch zuverlässig läuft...
Die könnte ich dann unserem Serverbetreuer empfehlen...

MfG
Uwe

Hallo,

Ich habe vor, bzw. bin dabei eine zu erstellen, wenn mir jemand dabei helfen will gerne ;-)

Mfg

Christian

Christian, das wäre Spitze. Leider kann ich - als Apache-Blindgänger - keine konstruktive Hilfe anbieten, wäre aber am Ergebnis höchst interessiert!

MfG,
Uwe

Auch mal anschauen:

http://www.gotroot.com/tiki-index.ph...f+mod_security

http://www.gotroot.com/tiki-index.ph...security+rules

greetz Ardcore

Kenn ich schon ;-)

Allerdings sind ca. 90% der Regeln in dem kompletten ruleset für eine reine joomlainstallation "überflüssig". Da diese jedoch immer abgearbeitet werden wenn eine URL aufgerufen wird kann das schon zu geschwindigkeits einbussen führen.
Ich habe mir mal die Arbeit gemacht und einige der Regeln die irrelevant sind entfernt. Bin aber noch nicht ganz damit durch.

Jain,

Ich habe die gotroot regeln durchforstet und alles was für joomla unnütz war entfernt.
Zusätzlich habe ich eine hand voll regeln eingefügt, speziell für joomla.
Was übrig geblieben ist ist ein großteil der generic rules, die Blacklist mit den Bots und einige andere Regeln, z.B. für bekannte Foren. Damit bin ich bisher ganz gut gefahren, auch was die Perfomance angeht.

Für eine reine joomla Seite sind die kompletten gotroot Regeln viel zu umfangreich.
Immerhin werden die bei jedem Aufruf einmal durchgegangen.
Nun bin ich vor kurzem auf die neue Version umgestiegen und da passen die alten Regeln leider nicht mehr- andere Synthax.
Die joomla typischen sachen sind schon umgeschrieben - die gotrootregeln laufen zur Zeit fast komplett. Ich werde mir wenn ich wieder etwas Zeit habe die arbeit wohl nochmal machen müssen.