Bonjour,
J'ai créé des scripts utilisés par modsecurity en cas de dépassement du seuil d alertes…
Quand le seuil est dépassé sur un laps de temps défini ça déclenche un truc sympat :=)
Une redirection iptables de tous les flux de l IP source vers l'IP d un VirtualHost interne. (DNAT)
Pourquoi ? afin d être sur que les applications réelles ne seront plus visées par l'attaque et surtout pour LOGGER!!!
Je voudrais que:
- toutes les requetes répondent en 200 quoi qu il arrive
- et surtout TOUT logger POST/GET
Qu est ce que je pourrais utiliser à votre avis ???
Un truc du genre :
RewriteRule .* http://127.0.0.1:1234/honeypot/ [P]
La question c'est je met quoi sur http://127.0.0.1:1234/honeypot/ ?
Est ce que ca va toujours renvoyer du 200 ?
Toutes les idées sont les bienvenues !
# mod_proxy
Posté par NeoX . Évalué à 3. Dernière modification le 30 janvier 2014 à 18:44.
[P]
c'est pour faire "proxy"
donc ca devrait renvoyer le code de la page demandé
ici tu lui dis de tout renvoyer sur http://127.0.0.1:1234/honeypot/
donc il faut une page qui existe là dedans afin d'avoir un code de retour 200.
# nginx
Posté par Tonton Benoit . Évalué à 3. Dernière modification le 30 janvier 2014 à 21:34.
On doit sûrement pouvoir faire ça sans sortir d'Apache, mais avec mod_proxy, si tu met un Nginx sur http://127.0.0.1:1234 avec une config du genre :
Ça devrait le faire.
[^] # Re: nginx
Posté par ratw3 . Évalué à 1. Dernière modification le 31 janvier 2014 à 01:31.
hummm…
l idée est séduisante :)
mais je ne pense pas que le contenu ds POST soit loggé, hors c'est important aussi…
Sinon y a peut être possibilité de le faire avec ModSecurity, un genre de "capture" all via SecAuditLog pour un domaine prédéfini.
L'autre idée c'était de créer un script PHP qui dump _GET et _POST dans un fichier de logs…
C'est certain que si tout pouvait rester dans de la conf apache (modsec) ce serait tooop!
[^] # Re: nginx
Posté par Tonton Benoit . Évalué à 2. Dernière modification le 31 janvier 2014 à 02:19.
D'après internet y'a la variable $request_body qui est utilisable dans log_format
Voir la 3ème réponse (la plus intéressante) http://stackoverflow.com/questions/4939382/logging-post-data-from-request-body
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.