問題タブ [mod-security]

サーバーのエラー ログを見ると、中国、タイなどの IP アドレスから、「manager」、「phpmyadmin」、「admin」、cgi-bin など、存在しないディレクトリにアクセスしようとする試みが多数見られます。など。「w00tw00t.at.blackhats.romanian.anti-sec:」および「HNAP1」と呼ばれるものに対して、奇妙な繰り返し要求がいくつかあります。

リクエストをリクエスト元の IP アドレスにリダイレクトする .htaccess ルールを作成する方法を考えていましたが、同じ 4 つまたは 5 つの存在しないディレクトリが常に試行されることを考えると、これらのダートバッグを苛立たせる他の厄介なトリックがあるかどうか疑問に思いました。 .

更新: 以下の「Michael - sqlbot」の提案に従って、サーバーに mod_security をターピットとして設定しようとしました。問題なくインストールして構成しましたが、構成スクリプトをコンパイルしていることを確認できますが (構文エラーを導入して httpd を再起動することで確認できます)、望ましくないアクセス試行を無視しているようです。

これが /etc/httpd/modsecurity.d/activated_rules/tarpit.conf にあるものです

modsec_debug.log ファイルは最初に作成されますが、常に空です。mydomain.com/phpmyadmin を要求すると、mod_security が存在しないかのように通常の 403 エラーが返されます。(403 エラーが発生する理由はわかりません。おそらく、長い間存在していなかった phpmyadmin ディレクトリへの古いシンボリック リンクが原因である可能性があります)。

Modsecurity と apache を備えた wordpress サイトを持っています。WordPress にアクセスしようとすると、403 Forbidden エラーがスローされます。管理パネルにもフロントエンドにもアクセスできません。ログは次のとおりです。

これは RuleByID 981205 を無効にすることで解決できます。ワードプレスのソースを変更することでこの問題を解決する方法はありますか?

mod_security正規表現パターンを使用して、2 つのスクリプトの Apacheを無効にしたいと考えています:bridge.phpとmobile-bridge.php.

mod_security_whitelist.conf構成フォルダー内の名前のファイルで実行できると思います/etc/httpd/httpd/conf.d：

[どこか間違っていたら訂正してください]

ウェブサイトで Google タグ マネージャーを使用することを検討していましたが、サーバーの mod-security インストールによってブロックされているデフォルトの Google インクルード コードが原因で、最初のハードルで失敗しました。

標準 GTM インクルード コード:

mod-security からの応答:

トリガーされるルールは、ID 981000 および 981001 です。

mod-security が "display:none;visibility:hidden" を持つ iframe が悪意のある可能性があると判断し、スタイル属性を削除するとルール 981001 のトリガーが停止する理由を理解できますが、ルール 981000 のためにリクエストは依然として失敗します。

981000 は幅と高さの属性がどうあるべきかについて強い意見を持っているようですが、私はそれらを '1' と '10' に設定しようとしましたが無駄でした :-(

このルールに合うように iframe をフォーマットする方法を知っている人はいますか? または、iframe が含まれないように GTM インクルード コードを変更する方法を教えてください。

ありがとう

PS: noscript領域全体を削除することでこの問題を解決できることはわかっていますが、インクルード コードの機能を変更しない解決策を探しています。

PPS: これはルール 981000 が一致するパターンです。ネストされたキャプチャ グループのクラウドで脳が爆発する前に、その約半分を理解できます ;-)

今日、nginxにmod_securityをインストールしました。次のブロックを に追加しました/etc/nginx/nginx。

Nginx を再起動した後、次のエラーが発生しました。

の出力nginx -V:

何がうまくいかないのですか？