Oct
15
2010

Interdire un User-Agent sur Vulture à l’aide du mod_security


J’utilise un serveur de messagerie nommé Mdaemon. Ce type de serveur possède un client à installer sur le poste de l’utilisateur permettant d’être notifié lorsqu’un nouveau mail est reçu, de se connecter au webmail sans taper de mot de passe…

Bref, mon problème est que j’ai l’impression que quelqu’un l’a installé chez lui sur un poste infecté car la boite à laquelle il se connecte spam énormément et risque de nous blacklister.

En visualisant les logs de mon reverse proxy Vulture,  j’ai remarqué que les UserAgents utilisés par ce logiciel sont  "ComAgentWCIM" et “WCInterface”.

Avec Vulture, nous avons la possibilité d’utiliser le mod_security sur les applications de notre choix. Cela va me permettre d’ajouter une règle permettant de bloquer les UserAgents qui me concernent.

 

Règles utilisées :

Voici les règles que j’ai mis en place pour mon webmail :

SecRule REQUEST_HEADERS:User-Agent ".*ComAgent.*" "t:none,msg:’ComAgent Identifie’"
SecRule REQUEST_HEADERS:User-Agent ".*WCInterface.*" "t:none,msg:’WCInterface identifie’"

 

Explication :

SecRule : Déclare une règle de sécurité

REQUEST_HEADERS:User-Agent : Filtrer le User-agent du client web

".*ComAgent.*" : Le User-Agent contiendra ComAgent

“t:none” : Indique que toutes les translations ne effectuées avant cette règle ne seront pas appliquées. Une translation permet de remplacer une chaine par une autre par exemple.

“msg:” : Inscrit un message personnalisé dans les logs

 

Après avoir appliqué cette règle à l’application, il ne faut pas oublier de redémarrer l’interface de Vulture qui a été touchée.

Articles similaires

Au sujet de l'auteur: Olivier Legras

Auteur de ce Blog, je partage quelques unes de mes notes que je juge utile à vous comme à moi. Je suis très heureux de voir que mon blog a de plus en plus d'affluence. Merci à vous!

Laissez un commentaire