我在2台CentOS 7服务器上安装了mod_security 。 Bot得到这个configuration:
SecAuditEngine RelevantOnly SecAuditLogRelevantStatus "^(?:5|4(?!04))" SecAuditLogParts ABIFHZ SecAuditLogType Concurrent SecAuditLog /var/log/modsec_audit.log SecAuditLogStorageDir /var/log/modsecurity/audit SecAuditLogDirMode "default" SecAuditLogFileMode "default"
但在server a的日志看起来像这样:
example.com 134.249.53.xx - - [10/Aug/2016:22:07:26 +0200] "POST /wp-login.php HTTP/1.0" 200 1598 "-" "-" V6uJflxhoyWp4zhOzImhlAAAAQ4 "-" /20160810/20160810-2207/20160810-220726-V6uJflxhoyWp4zhOzImhlAAAAQ4 0 1546 md5:ea867817aed5ba17597f6e71b96920b9
在server b ,日志看起来像这样:
[modsecurity] [client 37.115.191.xx] [domain example.org] [403] [/apache/20160810/20160810-1923/20160810-192353-V6tjKYO6c3SIxYXHutIdrwAAAFY] [file "/etc/httpd/conf/modsecurity.d/rules/comodo/09_Bruteforce_Bruteforce.conf"] [line "58"] [id "230011"] [rev "2"] [msg "COMODO WAF: Multiple Username Violation: Too Many Usernames Submitted for Authentication.||side-by-side-kuehlschrank.eu|F"] [data "Current Username: sergej"] Access denied with code 403 (phase 2). Operator GT matched 5 at IP:multiple_username_count.
我不明白,为什么服务器B这样写[modsecurity]和所有其他信息。
有任何想法吗?
第一个看起来像访问日志,第二个看起来像错误日志。 你确定你在两台服务器上都是一样的吗?
另外你在哪个版本的ModSecurity上运行? 最新版本2.9.1更改为使用 ErrorLogFormat定义的Apache日志logging ,因此,如果您为一台服务器设置了该设置,而不是另一台服务器,那么这也可以解释它。