例如,这个pdf在启用mod后停止工作,它会产生403错误。 [Wed May 30 18:47:19 2012] [error] [client xxxxxxxxxxx] ModSecurity: Warning. Match of "within %{tx.allowed_http_versions}" against "REQUEST_PROTOCOL" required. [file "base_rules/modsecurity_crs_30_http_policy.conf"] [line "78"] [id "960034"] [msg "HTTP protocol version is not allowed by policy"] [data "HTTP/1.1"] [severity "CRITICAL"] [tag "POLICY/PROTOCOL_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.10"] [hostname "somedomain.net"] [uri "/guide.pdf"] [unique_id "T8ZPFwoAARkAAA3sIQkAAAAG"] 78线, SecRule REQUEST_PROTOCOL "!@within […]
我已经在我的VPS上启用了Mod_Security,它使用apache web服务器运行Ubuntu操作系统。 现在,我想禁用它,因为我设置了另一个防火墙来保护我的服务器。 我已经尝试了以相反的顺序执行这些步骤(取出代码行和禁用模块),但是当我尝试重新启动Apache时,它一直说它无法重新启动。 我一直在寻找,但我无法find如何禁用WAF。 任何帮助,将不胜感激!
我把security2模块安装到了我的apache服务器上,把下面几行添加到我的httpd.conf中: <IfModule security2_module> Include crs/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf Include crs/owasp-modsecurity-crs/base_rules/*.conf </IfModule> 当我想通过http访问我的服务器时,我得到如下信息:“ Forbidden You don't have permission to access / on this server ” 然后我去了该模块日志,我看到以下错误: –72348f1e-B– GET / HTTP/1.1 Host: 192.8.9.70 Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: en-US,en;q=0.8,es;q=0.6,da;q=0.4 –72348f1e-F– HTTP/1.1 403 […]
我有一个VPC上的WordPress网站,我试图调整ModSecurity以减less误报。 当ModSecurity被激活时,我有Jetpack监视被拒绝。 从Apache error.loglogging [Sun Jul 26 20:25:31.569393 2015] [:error] [pid 5544] [client 192.0.84.33] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag […]
我正在粘贴“drwxr-xr-x。2 root root 6 Sep 24 04:35 images”到一个dokuwiki页面。这触发了modsecurity,并且我得到了一个HTTP错误。 如何修改这条规则以避免这种误报? 它发生在Dreamhost上,支持告诉我这个规则在阻止攻击方面是成功的。 它试图阻止什么样的攻击? 如果有人想查看文件权限,恶意代码可以简单地重新设置响应格式(例如,显示774)来绕过正则expression式匹配,而不是显示原始输出。 ModSecurity:访问被代码418拒绝(阶段4)。 模式匹配“(?:[^ <] *?(?: \ b(?:(?:c(?:ehennemden | gi-telnet)| gamma web shell)\ b | imhabirligi phpftp)|(?:r( ?:emote explorer | 57shell)| aventis klasvayv | zehir)\ b | \ .: :(?:新闻远程php shell注入:: \。| rhtools \ b)| ph(?:p(?:( ?: command | -terminal)\ b | remoteview)| …“at RESPONSE_BODY。[file”/dh/apache2/template/etc/mod_sec2/modsecurity_crs_45_trojans.conf“] […]
我运行一个小型webhosting服务( CPanel + ModSecurity ),我个人主持几个laravel项目。 我注意到,当我(或任何人)快速访问多个页面(一个接一个)时,在第六或第七次访问(redirect到/ )之后,某些时候我会收到Too Many Redirects错误, 经过一番研究之后,我注意到这是由于Cookie上的ModSecurity匹配造成的,匹配的时候,匹配的会话被locking在这个redirect循环中,直到手动清除了Cookie(对于该域)。 以下是ModSecurity日志的摘录,显示匹配和响应( Pastebin )。 我不明白为什么它与“有时”匹配(总是以用户身份login),以及如何防止它。 如果你们有一个想法… 感谢您的帮助
我的网站打开了Ubuntu 16,Apache 2.4,PHP 5.6,我使用CMS Drupal 8 我安装了模块mod_security。 我激活它,然后我启用了modsecurity_crs_41_sql_injection_attacks.conf 。 对于每一个表格,当我提交时,我有一个错误403禁止 你能向我解释为什么所有的提交表格都是被禁止的吗? 编辑:添加Apache错误日志 [Wed Nov 15 16:53:03.324516 2017] [:error] [pid 27760] [client] ModSecurity: Access denied with code 403 (phase 2). Pattern match "([\\\\~\\\\!\\\\@\\\\#\\\\$\\\\%\\\\^\\\\&\\\\*\\\\(\\\\)\\\\-\\\\+\\\\=\\\\{\\\\}\\\\[\\\\]\\\\|\\\\:\\\\;\\"\\\\'\\\\\\xc2\\xb4\\\\\\xe2\\x80\\x99\\\\\\xe2\\x80\\x98\\\\`\\\\<\\\\>].*?){4,}" at ARGS_NAMES:field_cl_address[0][format]. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "159"] [id "981173"] [rev "2"] [msg "Restricted SQL Character Anomaly Detection Alert – Total # of special characters […]
今天我的IP被我的服务器阻塞了。 我被告知这是因为触发了mod_security规则。 我被告知,触发的正则expression式是 ^((?:(?:POS|GE)T|OPTIONS|HEAD)) 我不太了解mod_security,并被告知 如果在您的帐户的任何脚本上find了正则expression式^((?:??POSSEGERT | OPTIONS_HEAD)),则mod_security将触发并阻止从该IP到服务器的访问。 这个正则expression式在mod_security中究竟是为了防止? 我已经运行了许多通过这个正则expression式上传到服务器的文件,但是还没有得到任何匹配。 我想知道这个试图完成什么,所以我可以弄清楚,是什么导致了阻塞,并在将来阻止它。
一些垃圾邮件锤击我的服务器与不存在的path/ user / pass?= asdfdasfas我怎样才能阻止任何访问/ user / pass?= *? 有没有比iptables或csf捕捉这样的废话更好的工具?
我刚刚在我的服务器上安装了mod_security,但是每个页面都被禁止了一个错误。 我觉得规则是严格的,不是? 怎么可以改变它? 这是我日志上的最后一行 Message: Access denied with code 403 (phase 2). Pattern match "([\\~\\!\\@\\#\\$\\%\\^\\&\\*\\(\\)\\-\\+\\=\\{\\}\\[\\]\\|\\:\\;\"\\'\\\xc2\xb4\\\xe2\x80\x99\\\xe2\x80\x98\\`\\<\\>].*?){8,}" at REQUEST_COOKIES:_iub_cs-856516. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "157"] [id "981172"] [rev "2"] [msg "Restricted SQL Character Anomaly Detection Alert – Total # of special characters exceeded"] [data "Matched Data: \x22 found within REQUEST_COOKIES:_iub_cs-856516: {\x22consent\x22:true,\x22timestamp\x22:\x222016-02-25T03:39:02.641Z\x22,\x22version\x22:\x220.11.36.4\x22,\x22id\x22:856516}"] [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] […]