【问题标题】:mod_security rule will not stop processingmod_security 规则不会停止处理
【发布时间】:2016-10-18 20:48:08
【问题描述】:

我在 Plesk 12 中有一个 mod_security 问题。尝试禁用特定域中的规则。通过使用域上的 plesk 工具,我尝试禁用规则:340465。(“ARGS 中的远程文件注入尝试”)

查看该域的 httpd.conf 我可以看到它已被应用:

<IfModule mod_security2.c>
      SecRuleEngine On
      SecRuleRemoveById 340465
</IfModule>

但域管理员中的特定操作(cubecart ~ 在其中一个字段中保存带有 URL 链接的产品)仍然​​违反规则。

  • 我在应用 plesk 更改后手动重新启动了 httpd
  • 我跟踪了 /var/log/modsec_audit.log > 没有触发其他规则(仅 340465)
  • 这个 EXACT 进程在另一个域上完美运行,规则为:350147

这是日志条目:

Message:  [file "/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/50_plesk_basic_asl_rules.conf"] [line "386"] [id "340465"] [rev "56"] [msg "Protected by Atomicorp.com Basic Non-Realtime WAF Rules: Remote File Injection attempt in ARGS (admin.php)"] [severity "CRITICAL"] Access denied with code 403 (phase 2). Match of "rx ://%{SERVER_NAME}/" against "ARGS:digitalDir" required.
Action: Intercepted (phase 2)
Apache-Handler: php5-script
Stopwatch: 1476823326390407 42244 (- - -)
Stopwatch2: 1476823326390407 42244; combined=7021, p1=2, p2=7017, p3=0, p4=0, p5=2, sr=0, sw=0, l=0, gc=0
Producer: ModSecurity for Apache/2.9.1 (http://www.modsecurity.org/); 201610141331.
Server: Apache
Engine-Mode: "ENABLED"

关于这里发生了什么(不是?)的任何想法 - 为什么这条规则仍在处理中?

【问题讨论】:

    标签: apache plesk mod-security


    【解决方案1】:

    SecRuleRemoveById 需要在它删除的 id 之后指定。

    我猜你是在调用 SecRuleRemoveById 之后而不是之前在配置中加载/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/50_plesk_basic_asl_rules.conf

    【讨论】:

      猜你喜欢
      • 2014-11-05
      • 2012-08-24
      • 2019-08-12
      • 1970-01-01
      • 1970-01-01
      • 2017-05-20
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多