15
2010
Interdire un User-Agent sur Vulture à l’aide du mod_security
J’utilise un serveur de messagerie nommé Mdaemon. Ce type de serveur possède un client à installer sur le poste de l’utilisateur permettant d’être notifié lorsqu’un nouveau mail est reçu, de se connecter au webmail sans taper de mot de passe…
Bref, mon problème est que j’ai l’impression que quelqu’un l’a installé chez lui sur un poste infecté car la boite à laquelle il se connecte spam énormément et risque de nous blacklister.
En visualisant les logs de mon reverse proxy Vulture, j’ai remarqué que les UserAgents utilisés par ce logiciel sont "ComAgentWCIM" et “WCInterface”.
Avec Vulture, nous avons la possibilité d’utiliser le mod_security sur les applications de notre choix. Cela va me permettre d’ajouter une règle permettant de bloquer les UserAgents qui me concernent.
Règles utilisées :
Voici les règles que j’ai mis en place pour mon webmail :
SecRule REQUEST_HEADERS:User-Agent ".*ComAgent.*" "t:none,msg:’ComAgent Identifie’"
SecRule REQUEST_HEADERS:User-Agent ".*WCInterface.*" "t:none,msg:’WCInterface identifie’"
Explication :
SecRule : Déclare une règle de sécurité
REQUEST_HEADERS:User-Agent : Filtrer le User-agent du client web
".*ComAgent.*" : Le User-Agent contiendra ComAgent
“t:none” : Indique que toutes les translations ne effectuées avant cette règle ne seront pas appliquées. Une translation permet de remplacer une chaine par une autre par exemple.
“msg:” : Inscrit un message personnalisé dans les logs
Après avoir appliqué cette règle à l’application, il ne faut pas oublier de redémarrer l’interface de Vulture qui a été touchée.
Articles similaires
Laissez un commentaire
Publicité :)
Articles récents
- Memento VI – Boostez Votre Productivité avec Vi : Trucs et Astuces à Connaître
- Configuration de Nginx pour Obtenir l’IP Réelle des Visiteurs avec CloudFlare
- Récupérer les informations d’un Ordinateur Terra à partir du numéros de série avec Python
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc…
- Failed to Start File System Check – Vcenter 7
Mot-clefs
Commentaires récents
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Rotation des logs avec logrotate dans
- Hôte déconnecté sur le Vcenter. Impossible de se connecter à l’ESX. dans
- Pourquoi mon interface vlan ne veut pas devenir up ? dans