Elxis Defender report

[giannismit]

Είναι κάτι που πρέπει να με κάνει να ανησυχώ ?

Elxis Defender blocked an attack to your site!
Reference code: SEC-DEFG-0130

Elxis Defender report
Signatures:    general
Match method:    inmatch
Haystack:    requesturi
Pattern match:    ..
Reason:    Directory traversal attack.


Requested URI:    /inner.php/en/anakoinoseis/egkomia-tis-aiba.html?print=../../../../../../../../../../../../../../../../../etc/passwd
IP address:    195.248.234.45
Hostname:    s56.org.ua
User agent:    Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7
Date (UTC):    2013-09-21 08:54:13

[datahell]

Σε αυτά τα πράγματα δεν υπάρχει ούτε καθυσηχασμός, ούτε πανικός. Είναι απλά μία ενημέρωση για κάτι που μπλόκαρε ο Defender. Το 99.9% τέτοιων επιθέσεων είναι τυχαίες. Οπότε εφόσον δεν είσαι στόχος και δεν έχεις πάρα πολλές τέτοιες επιθέσεις θα έλεγα ότι δεν χρειάζεται να ανησυχείς. Τέτοιου είδους σκαναρίσματα είναι παιχνίδι για τον defender.

Να ξαναπω επί τη ευκαιρεία πως διαβάζουμε το reference code που δίνει ο defender.

Όλοι οι κωδικοί που δίνει το Elxis στις σελίδες εξόδου, συμπεριλαμβανομένου και του defender, αποτελούν έναν κωδικοποιημένο τρόπο να βρούμε την ακριβή αιτία που δημιουργήθηκε η σελίδα εξόδου.

Reference code: SEC-DEFG-0130
SEC εκ του Security, σημαίνει πως η σελίδα δημιουργήθηκε λόγω συναγερμού ασφαλείας.
DEFG, εκ του Defender General, ο συναγερμός ασφαλείας σήμανε από τον Defender με χρήση των Γενικών φίλτρων (G)
0130, το 130o (ως αύξων αριθμός) φίλτρο των γενικών υπογραφών του Defender μπλόκαρε την αίτηση.

Οπότε πηγαίνοντας στο αρχείο includes/libraries/elxis/defender/general.php (γενικές υπογραφές defender) και στην γραμμή 148 όπου είναι η 130η υπογραφή βρίσκουμε τι μπλόκαρε την αίτηση:

Code: [Select]

array('inmatch', 'requesturi', '..', 'Directory traversal attack.'),
Στο αρχείο includes/libraries/elxis/defender/custom.php (C - custom υπογραφές) μπορούμε να προσθέσουμε τα δικά μας φίλτρα, ότι θέλουμε.

Όλα τα φίτλρα του defender.
G: General
C: Custom
H: Hosts
I: Ip
A: user Agents
P: Post
F: File system

Επίσης γίνεται έλεγχος για IPs που έχουν φραχθεί από τον defender σε προηγούμενο χρόνο λόγω κάποιου εκ των άνωθεν φίλτρων.

[giannismit]

Ευχαριστώ Γιάννη, αρκετά κατατοπιστικός όπως πάντα