WINTXCODERS

Seguridad informática => Seguridad general => Mensaje iniciado por: PAYASAKX en Marzo 15, 2015, 03:19:00 PM

Título: ¿Cómo seria el .htaccess perfecto?
Publicado por: PAYASAKX en Marzo 15, 2015, 03:19:00 PM
Bueno pues un colega (DjLobo) tiene una central y intentamos implantar buena seguridad, y yo pensé en algo mínimo.. Un .htaccess he buscado en google pero creo que no funcionan muy bien..

Podrían dejar aquí un code de .htaccess bueno? Principalmente para prevenir ataques, (Ya puse protección contra Inyecciones y Bots dañinos)

Saludos y gracias!
Título: Re:¿Cómo seria el .htaccess perfecto?
Publicado por: WIитX en Marzo 15, 2015, 04:10:58 PM
No te recomiendo prevenir ataques con un htaccess a no ser que sean iframe
Título: Re:¿Cómo seria el .htaccess perfecto?
Publicado por: @Zanut Sec en Marzo 15, 2015, 05:26:36 PM
No se porque no me has preguntado, el que tenemos nosotros en el blog parece bueno por ahora solo han podido tumbarlo con botnet.
Spoiler
Citar
## Seguridad extra para PHP 
php_flag safe_mode on 
php_flag expose_php off 
php_flag display_errors off 
 
## Manejo de errores de Apache. Redirigimos a una pagina especial desarrollada por nosotros. 
ErrorDocument 401 /error401.html 
ErrorDocument 403 /error403.html 
ErrorDocument 404 /error404.html 
   
   
RewriteEngine On 
   
Options +FollowSymLinks 
# Evitar escaneos y cualquier intento de manipulación malintencionada 
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc) 
RewriteCond %{HTTP_USER_AGENT} ^$ [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR] 
   
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR] 
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR] 
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC] 
   
RewriteRule ^(.*)$ error.php [NC] 
## No permitir acceso al .htaccess 
order allow,deny 
deny from all 
   
## Evitar que se liste el contenido de los directorios 
Options All -Indexes 
   
## Lo mismo que lo anterior 
IndexIgnore * 
   
## Denegar el acceso a robots dañinos, browsers offline, etc 
RewriteBase / 
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR] 
RewriteCond %{HTTP_USER_AGENT} ^attach [OR] 
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus 
##redireccionar a los robots a otra web 
RewriteRule ^.*$ http://www.otraweb.com [R,L] 
   
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos 
LimitRequestBody 10240000 
[close]
Saludos, @Zanut Sec.
Título: Re:¿Cómo seria el .htaccess perfecto?
Publicado por: #i[J]0SEE en Marzo 15, 2015, 05:50:27 PM
You are not allowed to view links. Register or Login
No se porque no me has preguntado, el que tenemos nosotros en el blog parece bueno por ahora solo han podido tumbarlo con botnet.
Spoiler
Citar
## Seguridad extra para PHP 
php_flag safe_mode on 
php_flag expose_php off 
php_flag display_errors off 
 
## Manejo de errores de Apache. Redirigimos a una pagina especial desarrollada por nosotros. 
ErrorDocument 401 /error401.html 
ErrorDocument 403 /error403.html 
ErrorDocument 404 /error404.html 
   
   
RewriteEngine On 
   
Options +FollowSymLinks 
# Evitar escaneos y cualquier intento de manipulación malintencionada 
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc) 
RewriteCond %{HTTP_USER_AGENT} ^$ [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR] 
   
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR] 
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR] 
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC] 
   
RewriteRule ^(.*)$ error.php [NC] 
## No permitir acceso al .htaccess 
order allow,deny 
deny from all 
   
## Evitar que se liste el contenido de los directorios 
Options All -Indexes 
   
## Lo mismo que lo anterior 
IndexIgnore * 
   
## Denegar el acceso a robots dañinos, browsers offline, etc 
RewriteBase / 
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR] 
RewriteCond %{HTTP_USER_AGENT} ^attach [OR] 
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus 
##redireccionar a los robots a otra web 
RewriteRule ^.*$ http://www.otraweb.com [R,L] 
   
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos 
LimitRequestBody 10240000 
[close]
Saludos, @Zanut Sec.
Tiene poca utilidad el .htaccess para prevenir DDoS, primero que solo funciona si os atacan al servidor web 80/, si os atacan por ejemplo al RDP 3389 o al  443 el DDoS entra directamente al servidor.
Título: Re:¿Cómo seria el .htaccess perfecto?
Publicado por: WIитX en Marzo 16, 2015, 12:45:42 PM
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
No se porque no me has preguntado, el que tenemos nosotros en el blog parece bueno por ahora solo han podido tumbarlo con botnet.
Spoiler
Citar
## Seguridad extra para PHP 
php_flag safe_mode on 
php_flag expose_php off 
php_flag display_errors off 
 
## Manejo de errores de Apache. Redirigimos a una pagina especial desarrollada por nosotros. 
ErrorDocument 401 /error401.html 
ErrorDocument 403 /error403.html 
ErrorDocument 404 /error404.html 
   
   
RewriteEngine On 
   
Options +FollowSymLinks 
# Evitar escaneos y cualquier intento de manipulación malintencionada 
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc) 
RewriteCond %{HTTP_USER_AGENT} ^$ [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR] 
   
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR] 
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR] 
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC] 
   
RewriteRule ^(.*)$ error.php [NC] 
## No permitir acceso al .htaccess 
order allow,deny 
deny from all 
   
## Evitar que se liste el contenido de los directorios 
Options All -Indexes 
   
## Lo mismo que lo anterior 
IndexIgnore * 
   
## Denegar el acceso a robots dañinos, browsers offline, etc 
RewriteBase / 
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR] 
RewriteCond %{HTTP_USER_AGENT} ^attach [OR] 
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus 
##redireccionar a los robots a otra web 
RewriteRule ^.*$ http://www.otraweb.com [R,L] 
   
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos 
LimitRequestBody 10240000 
[close]
Saludos, @Zanut Sec.
Tiene poca utilidad el .htaccess para prevenir DDoS, primero que solo funciona si os atacan al servidor web 80/, si os atacan por ejemplo al RDP 3389 o al  443 el DDoS entra directamente al servidor.

Más que eso es que cada vez que tiene que denegar algo tiene que mandarle respuesta el htaccess por lo que si tiene muchas peticiones te van a saturar igualmente.