Forum Linux.général HTTP Honeypot

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
1
30
jan.
2014

Bonjour,
J'ai créé des scripts utilisés par modsecurity en cas de dépassement du seuil d alertes…

Quand le seuil est dépassé sur un laps de temps défini ça déclenche un truc sympat :=)

Une redirection iptables de tous les flux de l IP source vers l'IP d un VirtualHost interne. (DNAT)

Pourquoi ? afin d être sur que les applications réelles ne seront plus visées par l'attaque et surtout pour LOGGER!!!

Je voudrais que:
- toutes les requetes répondent en 200 quoi qu il arrive
- et surtout TOUT logger POST/GET

Qu est ce que je pourrais utiliser à votre avis ???

Un truc du genre :

RewriteRule .* http://127.0.0.1:1234/honeypot/ [P]

La question c'est je met quoi sur http://127.0.0.1:1234/honeypot/ ?
Est ce que ca va toujours renvoyer du 200 ?

Toutes les idées sont les bienvenues !

  • # mod_proxy

    Posté par  . Évalué à 3. Dernière modification le 30 janvier 2014 à 18:44.

    [P]
    c'est pour faire "proxy"

    donc ca devrait renvoyer le code de la page demandé

    ici tu lui dis de tout renvoyer sur http://127.0.0.1:1234/honeypot/
    donc il faut une page qui existe là dedans afin d'avoir un code de retour 200.

  • # nginx

    Posté par  . Évalué à 3. Dernière modification le 30 janvier 2014 à 21:34.

    On doit sûrement pouvoir faire ça sans sortir d'Apache, mais avec mod_proxy, si tu met un Nginx sur http://127.0.0.1:1234 avec une config du genre :

    http {
            access_log /var/log/nginx/access.log main;
        server {
            listen    127.0.0.1:1234;
            return    200;
        }
    }
    

    Ça devrait le faire.

    • [^] # Re: nginx

      Posté par  . Évalué à 1. Dernière modification le 31 janvier 2014 à 01:31.

      hummm…
      l idée est séduisante :)

      mais je ne pense pas que le contenu ds POST soit loggé, hors c'est important aussi…
      Sinon y a peut être possibilité de le faire avec ModSecurity, un genre de "capture" all via SecAuditLog pour un domaine prédéfini.
      L'autre idée c'était de créer un script PHP qui dump _GET et _POST dans un fichier de logs…

      C'est certain que si tout pouvait rester dans de la conf apache (modsec) ce serait tooop!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.