Perl Secure

[كارم ابراهيم]

السلام عليكم بداية احب ان اشكر صديقى وزميلى حمادة على نقاشنا فى هذه النقطة

ندخل فى الموضوع الحماية من البرل ومخاطر شلات البرل طبعا الاغلبية يلجا الى وقف البرل نهائيا طب ماذا عن عملائك من لديه برنامج يعمل بالبرل يقولك مش مهم المهم حماية السيرفر طيب ياعمى تعالى نتناقش سيب البرل شغال وشوف ضرره هيجيلك منين تمام كده هنبدا نشوف مثلا الهاكر بيحتاج يستخدم امر cat نقوم احنا نخلى الروت هو بس الى يستخدمه ازاى بقى ندى تصريح ليها بكده chmod 700 /bin/cat وهكذا مثلا هيستخدم ايه تانى wget سهلة برضو chmod 700 /usr/bin/wget وهنا كمان chmod 700 /bin/pwd chmod 700 /bin/chmod

طبعا فى حاجات تانية محتاجين برضو نظبط تصاريحها كده المهم هى دى الفكرة شغل البرل عادى ووقف الضرر ايه المانع لما اشغله طالما مش بيضرنى دى لغة برمجة هتوقف كل شغلها ليه بس طبعا كل مدير سرفر هيحدد هو محتاج يظبط تصريحات ايه ويشغل ايه اتمنى اكون وفقت فى الشرح واى استفسارات حاضر ان شاء الله

تحياتى للجميع

المصدر الاصلى : ظ…ط¯ظˆظ†ط© ط¹ط§ظ„ظ… ط¶ط§ط¦ط¹

[فتى الخفجي]

وعليكم السلام


تعطيل البيرل اصبح من الشيء القديم



في حركة جديدة وهي رفع برنامج perl آخر .. من السي بانل .. وإعطاء تصريح 777

وجعل اي سكربت بيرل يستخدم هذا البرنامج بدل البرنامج الأصلي الموجود على السيرفر



طرق حماية البيرل :

1- حذف إمتداده من httpd.conf وهو هذا السطر AddHandler perl-script .pl

2- إغلاق عمل .htaccess على الاوامر الأساسي . لكي لايتم إضافة البيرل من السي بانل
وهو بالتأكد من وجود هذا السطر : AllowOverride None على المسار /
مثل كذا
<Directory />
Options FollowSymLinks +ExecCGI
AllowOverride None
Order deny,allow
Deny from all
Satisfy all
</Directory>


3- إعطاء البيرل تصريح 700 ... وليس 744 وليس 755 !!!

4- تشغيل المود سكيورتي وإضافة الرولز التاليه لمود سكيورتي 2


SecRule REQUEST_URI "perl .*\.pl(\s|\t)*\;"


SecRule REQUEST_URI "\;(\s|\t)*perl .*\.pl"


SecRule REQUEST_URI|REQUEST_BODY "perl (xpl\.pl|kut|viewde|httpd\.txt)"


SecRule "(cd|perl |g\+\+ |\./)"


SecRule REQUEST_URI "\;\x20+?perl\x20+[A-Za-z|0-9]+;"


SecRule REQUEST_URI "( |\;|/|\'|,|\&|\=|\.)(perl|nc|telnet|(rs)sh|rexec) .*([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|[A-Za-z|0-9]\.[a-zA-Z]{2,4}|[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)"


SecRule REQUEST_URI "(perl|t?ftp|links|elinks|lynx|ncftp|(s|r)(cp|sh)|wget|lwp-(download|request|mirror|rget)|curl|cvs|svn).*\x20((http|https|ftp)\:/|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|.*[A-Za-z|0-9]\.[a-zA-Z]{2,4}/|[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)"


SecRule REQUEST_URI "/usr/bin/perl"


SecRule REQUEST_URI "cd\x20*\;(cd|\;|echo|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |cmd|pwd|wget |lwp-(download|request|mirror|rget) |id|uname |cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\+\+ |\./)"


SecRule HTTP_Referer "\#\!.*/"


SecRule REQUEST_BODY "^PHP\:*((cd|mkdir)[[:space:]]+(/|[A-Z|a-z|0-9]|\.)*|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |cmd|pwd|wget |lwp-(download|request|mirror|rget) |id|uname |cvs |svn |(s|r)(cp|sh) |net(stat|cat)|rexec |smbclient |t?ftp |ncftp |chmod |curl |telnet |gcc |cc |g\+\+ |whoami|\./|killall |rm \-[a-z|A-Z])"


SecRule REQUEST_URI|REQUEST_BODY "(cmd|command)=.*(cd|\;|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |cmd|pwd|wget |lwp-(download|request|mirror|rget) |id|uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\+\+ |whoami|\./|killall |rm \-[a-z|A-Z])"


SecRule REQUEST_URI|REQUEST_BODY "(cmd|command)=(cd|\;|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |cmd|pwd|wget |lwp-(download|request|mirror|rget) |id|uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\+\+ |whoami|\./|killall |rm \-[a-z|A-Z])"


SecRule REQUEST_URI|REQUEST_BODY "(\?((LOCAL|INCLUDE|PEAR|SQUIZLIB)_PATH|action|content|dir|name|menu|pm_path|path|pathtoroot|cat|pag ina|path|include_location|root|page|gorumDir|site|topside|pun_root|open|seite)=(http|https|ftp)\:/|(cmd|command)=(cd|\;|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |id|cmd|pwd|wget |lwp-(download|request|mirror|rget) |uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\+\+ |\./|whoami|killall |rm \-[a-z|A-Z]))"


SecRule REQUEST_URI "\.php\?(((LOCAL|INCLUDE|PEAR|SQUIZLIB)_PATH|action|content|dir|name|menu|pm_path|pagina|path|pathto root|cat|include_location|gorumDir|root|page|site|topside|pun_root|open|seite)=(http|https|ftp)\:/|.*(cmd|command)=(cd|\;|perl |killall |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |cmd|pwd|wget |lwp-(download|request|mirror|rget) |id|uname |cvs |svn |(s|r)(cp|sh) |net(stat|cat)|rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\+\+ |whoami|\./|killall |rm \-[a-z|A-Z]))"



لتحويل سكربتات البيرل لصفحة
SecRule REQUEST_URI|REQUEST_BASENAME|REQUEST_FILENAME|REQUEST_HEADERS|RESPONSE_BODY|REQUEST_BODY "/(اكتب هنا اسماء السكربتات اللي تبي تعطلها مثل بيرل|بيرل2|وغيرها)\.pl|tml)" log,redirect:Secured Page

5- لاتنسى إعدادات الـ mod_perl و SuEXE










تحياتي

أقوى حماية على مستوى الإنترنت .. من بوابة الحماية - سوالف سوفت

[كارم ابراهيم]

برضو بطريقتك هذه راح تقضى على لغة برمجية كاملة وهذا مانتكلم عنه لماذا نوقفها طالما اوقفنا مشاكلها جرب ركز فى طريقتى وستعرف بنفسك وحاول ان لا تجعل حمايتك تضرك بالنهاية

تحياتى لك

[حسان وافي]

اخوي فتى الخفجي لماذا يقول موقع بوابه الحمايه انه اذا تم تكرار معاودتي للصفه انه سوف يخبر الجهات المسئوله
ما المشكله مع انه فتح منذ فتره قربيه

وعلى فكره انا رايت انه حذف شيل كان مرفوع عليه شل القناص
اخوك ابو حسان الشمري