Olá PessoALL Eu já tennho mais de 70 novas regras que foram importadas de outros projetos. O Que foi convertido na íntegra foi o projeto php-ids. Porém a versão estável do HLBR dá alguns problemas com o tamanho das regras. Me manti um pouco ausente por causa de alguns trabalhos que tive que realizar, mas vou publicar um artigo em breve com estas regras. O pessoal do desenvolvimento já tem estas regras em mãos, porém vou atualizar, pois já saiu uma versão mais nova do php-ids e vou importar novamente. Em relação a importar regras do SNORT eu também tenho um pé atras, pois quando importei as regras do php-ids e coloquei em produção, todos os meus sites em php sairam do ar. E o google parou de ter acesso a indexação dos sites (isso é péssimo). As regras contemplam ataques PHP, XSS, SQL Injection, Javascript, Injeção de código e tals... Mas não sei como os caras conseguem utilizar todas as regras. Aconteceu também um fato interessante. Depois de filtrar as regras com problemas e deixar meus sites operacional novamente, tive problemas com a algumas autalizações do IE7 e Do firefox 3.x As requisições normais de páginas eram classificadas no HLBR como "Detects common XSS concatenation patterns 1/2" e o que acontecia era que acontecia somente com alguns clientes e outros não... A assinatura em questão é essa: tcp regex((?:!+\s*[\d.,]+\w?\d*\s*\?)|(?:=\s*\[s*\])|(?:;[^q\s]+=[^\d])|(?:[\d\W]["\s]*:\s*")|(?:"\s*\+\s*")|(?:[^\s]\[\s*\d+\s*\]\s*[;+])|(?:"\s*[&|]+\s*")|(?:\/\s*\?\s*")|(?:\/\s*\)\s*\[)|(?:\d\?.+:\d)|(?:]\s*\[\W*\w)|(?:[^\s]\s*=\s*\/)) Descomentei essa regra e todos os meus clientes pararam de reclamar. A boa é que tenho sites em php, joomla, mambo ... e tals... e posso testar em ambiente de produção as regras que estou importando. Como a galera do desenvolvimento sabe, estou me empenhando com força na parte de regras, e estou disposto a ajudar, mas tomem cuidado com regras do SNORT, são genéricas demais e se houver uma importação indiscriminada, a REDE PARA !!!!!!!!! Um bom exemplo foi citado em outra THREAD, onde tem uma regra pra barrar o ULTRASURF, coloquei ela no ar, e parte da minha rede parou. Eu ainda vou tentar verificar a regra, mas como o Eriberto disse, é muito genérica, mas vi alguns detalhes nela que são uma luz no fim do túnel. Estou também começando a escrever regras para os ataques que o NESSUS faz. Peguei várias assinaturas, e vou postar aqui os resultados.
Um abraço a Equipe HLBR. _____________________________ Dailson Fernandes http://www.dailson.com.br http://www.reconstrucao.org _____________________________ pedroarthur.jedi escreveu: > > > --- Em [email protected] <mailto:hlbr%40yahoogrupos.com.br>, > Matuzalém Guimaraes > <[EMAIL PROTECTED]> escreveu > > Eu acho bastante interessante a idéia de traduzir as regras. > > Não sei de fato se e quais já foram traduzidas. > > De qualquer forma se for iniciar um projeto deste tipo, eu me coloco > a disposição! > > Abraço! > > O Dailson Fernandes está trabalhando paralelamente ao Eriberto na > criação de regras. Brevemente ele estará divulgando. Seria legal > formamos uma equipe responsável pela criação de regras, não acham? > Seria viável uma reunião virtual com os interessados em participar da > criação e homologação de regras para o HLBR? TAlvez via IRC no FreeNode? > >
