CWAF Software Firewall Directadmin

CWAF voor Directadmin

Ik heb klanten die vaak een oudere website nog draaien, en waarbij updates naar zoal een laatste versie vaak al niet mogelijk is zonder chrash of niet werkende website meer. Het is te incompatible en alles gaan debuggen waarom het niet werkt is tijdrovend. De klant kiest uit vaak financieel belang ervoor de website maar te laten zoals het is, en deze niet te upgraden. Het nadeel? Deze loopt risico tegen aanvallen en kan een serieus probleem veroorzaken inzage dataverlies of erger.

Nja, wat doe je dan? Ik heb natuurlijk geen zin in gehackte websites op mijn netwerk en vindt het belangrijk dat de security en veiligheid op orde is. Echter ontkome je er niet (meer) aan wanneer je een verouderd pakket draait, lekken tegenwoordig overal te vinden zijn als je de versie nummer van een software pakket maar weet. Ik ben vroeger zo ook begonnen, het zoeken naar beveiligingsgaten in websites. Toen was het anders, waar tegenwoordig heel erg veel geautomatiseerd afgestruind wordt.

Omdat ik Custombuild gebruik van Martynas Bendorius, is het relatief eenvoudig de software configuratie op maat in elkaar te klikken. Zo kwam er dus ineens CWAF als potentieele nieuwe update. Veel kon ik er niet over vinden dan behalve dat het een software gebaseerde firewall is. Het schijnt bepaalde exploits en posts naar de server toe, te blokkeren. Ik heb het een tijdje gedraaid, soms moet je het e.a whitelisten bij bijv. een website dat een betaalpagina aanroept, maar in de regel werkt het goed.

Een klant heb ik recent geholpen met de verhuizing van een andere webmaster naar mij toe. Hij was (ontevreden) over de manier van zaken en dat klanten als niet gast niet konden bestellen. Ik zag al direct waar het aan lag. De webmaster bleef een website voeren dat lek was maar koos ervoor om met mappenrechten, bepaalde hack exploits tegen te gaan. Ik vertrouwde het niet helemaal en durfde niet te stellen of het al gehacked was. Dat het onveilig was was zeker. De laatste versie stamde nog uit 2017.

Op het moment dat ik de website overzette en deze zover dat nog lukte, update naar de laatst mogelijke versie, was ik benieuwd naar de werking van CWAF in dit geval. Een paar dagen later, stond de error log vol met CWAF meldingen waarvan bepaalde exploits, geblocked waren. In het bovenstaande gaat het om een SQL exploit waar gegevens kunnen worden ingevoerd of gedownload worden. Dit werkt supergoed momenteel en het gaf me meer inzage in hoe bots tewerk gaan.

Apart van dat ik dit soort block nu geautomatiseerd heb en kan configureren om geblacklist te worden in de firewall, zou ik iedereen met een eigen server en in combinatie met Directadmin, Cwaf te installeren en in te zetten. Let wel dat bepaalde rules experimenteel zijn, en hier en daar een error zullen gaan gooien. Websites kunnen ineens stoppen met werken als een bepaalde call geblocked wordt. Geen zorg. Hier leg ik je uit hoe je een false positive kunt whitelisten en toelaten voor werking.

Bij iedere block gooit CWAF in de error log van het domein, een unique ID eruit. Dit is een 6 cijferig nummer en ziet er zo uit: "211650" > echter dit is wel een exploit en deze moet je absoluut niet gaan whitelisten. Om te voorkomen dat CWAF positive ID's per ongeluk gaat blocken, kan je deze whitelisten via "Custom HTTPD Configurations" > selecteer het domein, bovenin bij Httpd.conf Customization for domein.xyz, vul je de volgende entry / waarde in, je moet wel het ID weten van de false positive.

< IfModule mod_security2.c > SecRuleRemoveById 211650 < /IfModule >
Let op: haal de spaties tussen de html brackets eruit. Dit plak je met de juiste ID in het bovenstaande, custom venster, en klik je op Save. Vervolgens ga je naar Service Monitor, en bij HTTPD klik je op Restart. Restarten is noodzakelijk, anders wordt deze niet toegepast. Test het nu op je domein en je zal zien dat het werkt. Dit whitelist een false positive en zorgt ervoor dat je website gewoon werkend blijft. Als een website gestopt is met werken kan je het beste de error log nalezen. Het is een software firewall dat malafide posts blocked.

Dit artikel is gepubliceerd op 27-07-2020.

Meer Artikels

Dingen wat me bezig houdt, waar ik aan werk en wat de plannen zijn.

Een update in Maart 2022

Het is ff geleden dat ik een laatste blog artikel geschreven had. Zelf heb ik het aardig druk met heropening vanaf 25 feb 2022 maar ook de toename in nieuwe en bestaande klanten. Iedereen ...

Sekswerkers Worden Steeds Vaker Afgeperst

Sekswerker steeds vaker afgeperst

Op veel werk(en) van mij schrijf ik vaak over de "gevaren" van het aanknopen van een relatie met een klant. Of het prive gaan buiten het seksbedrijf om voor een "betere prijs" ...

Botverkeer wordpress mijn aanpak en oplossing

Hoe om te gaan met Botverkeer?

Wist je dat 60% van een servers verkeer tegenwoordig bestookt wordt door bots? Bots zijn een groeiend probleem in de zin dat het veel en soms onnodig veel resources vreet. Denk aan bots voor het a ...

Is een VPN wel zo veilig?

Gebruik van een VPN - Privacy of Fictie?

Op internet is er veel onwaarheden over het gebruik van een VPN. Het zou "veiliger" zijn en bijv. "niet te traceren" als je er eentje gebruikt. Ik zal een korte uitleg geven ov ...

Vragen over CWAF voor Directadmin?

Binnen 24 uur een reactie via email of telefoon.