問題タブ [mod-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache2 - ReverseProxy + ModSecurity を使用した Apache での VirtualHost 構成
Reverse Proxy+Mod Security を使用して apache2 に仮想ホスト構成を設定しました。しかし、それは重複しています.apache2の再起動中にエラーは発生しませんが、2番目の仮想ホスト構成は最初のものと重複しています.
最初のものは正常に動作しています。
私の仮想ホスト構成は次のとおりです。
mod-security - phpファイルへのアクセスをブロックする(mod_secを使用)
mod_secを使用してphpファイルへのすべてのアクセスをブロックするにはどうすればよいですか?
ファイル名の形式はsm6#.phpで、#ランダムな数字です。
apache - Mod-Security 構成エラーの詳細な Apache エラー ログ
Apache 2.2.21 で Mod セキュリティを構成し、Mod セキュリティ ルールを正常に構成しました。Mod セキュリティ ルール構成ファイルで間違ったルールを構成すると、Apache サーバーが起動せず、手動で 2 つあるという問題に直面しています。問題のあるルールを検索します。Apache エラー ログは、Mod-Security Rule のエラーに関する十分な情報を提供しません。Mod Security 監査ログは、どのルールがトリガーされ、その理由が記録されているため、ここでは関係ありません。Apache エラー ログを構成する必要がありますか? またその方法は?
php - Mod_security が ajax スクリプトをブロックすることがあります - 理由を調べるにはどうすればよいですか?
PHP と mysql を使用して、ある種の CMS アプリケーションを作成しました。すべてが localhost で完全に機能したので、Web に移動しました。誰かが新しい記事を追加しているときに、奇妙な問題が発生しています。通常どおり追加される場合もあれば、ユーザーが次のエラーを受け取る場合もあります。
受け入れられません 要求されたリソース /path_to/file.php の適切な表現がこのサーバーで見つかりませんでした。
Google でしばらくしてから、mod_security がスクリプト (またはそのようなもの) をブロックしていることに気付きました。スクリプトがブロックされている理由を確認する方法はありますか?
私は mod_security についてあまり詳しくありませんが、いくつかのルールを適用することで、Web アプリケーションに別のレベルのセキュリティを提供するためにあることは理解しています。アプリをブロックしているルールを確認して修正できますか?
いくつかの追加情報:
/path_to/file.php (この Not Acceptable エラーが発生しているファイル) は、AJAX でのみ使用される .php ファイルです。POST でデータを送信していますが、ファイル (画像、テキスト ドキュメントなど) も送信しています。サーバーでのファイルのアップロード制限は 20MB です。現在、17 枚の写真 (約 10MB) を送信していますが、まだ失敗しています (Not Acceptable エラーが発生します)。しかし、写真とドキュメントを 1 つだけ送信しようとしましたが、問題なく動作しました。
編集:共有ホストを使用しています(CPanelを使用)。
django - django 管理インターフェイスに認証ユーザーを追加: HTTP 403 エラー
管理インターフェイスから新しいユーザーを保存しようとすると、奇妙な問題が発生します。403
HTTP ステータス コード エラーが発生します。
認証アプリケーションで何も変更していません。
ここに私のミドルウェアがあります:
どこを見ればいいのかわからない、または何がこれを引き起こす可能性があるのか わかりません。手がかりは大歓迎です。
php - ModSecurity は DBM ファイル "/tmp//global" にアクセスできませんでした
最近、新しいサーバーをセットアップしたところ、次のエラー ログ エントリが表示されるようになりました。
[Sat Jul 14 05:05:00 2012] [エラー] [client xxxxx] ModSecurity: DBM ファイル "/tmp//global" へのアクセスに失敗しました: 権限が拒否されました [ホスト名 "xxxx"] [uri "/games.php"] [unique_id "UAE2PH8AAAEAAAnZRZoAAAAO"]
と
[2012 年 7 月 14 日 04:22:05] [エラー] [クライアント xxxx] ModSecurity: DBM ファイル "/tmp//ip" へのアクセスに失敗しました: 許可が拒否されました [ホスト名 "xxxxxx"] [uri "/index.php"] [unique_id "UAEsLX8AAAEAAAg0GL8AAAAD"]
/tmp
、/tmp/global.dir
および/tmp/ip.dir
すべて root が所有しています。奇妙なことに、サイトは毎時間数千のヒットを取得しますが、すべてのアクセス (同じ URI へのアクセスであっても) がエラーをトリガーするわけではありません。
誰にもアイデアはありますか?
apache - これらはどのような種類の文字で、どのようにデコードするのですか?
したがって、上記のタイトルが示すように、mod_security を実装したばかりで、次のようなログ結果をデコードしたいという事実に関連しています。
\\xe7\\xa9\\x80\\xe7\\x94\\xb0\\xe6\\x81\\xb5\\xe4\\xba\\x8c
何がブロックされているかを知るためだけに
より多くのデータ
ModSecurity: コード 403 (フェーズ 2) でアクセスが拒否されました。
パターンマッチ"(^[\"'
\\xc2\\xb4\\xe2\\x80\\x99\\xe2\\x80\\x98;]+|[\\"'
\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+$)"ARGS:search_query で。[ファイル "/etc/apache2/mod-security modsecurity_crs_41_sql_injection_attacks.conf"] [行 "64"] [id "981318"] [rev "2.2.5"]
[msg "SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました"] [データ "\xe2"]
[重大度「CRITICAL」] [タグ「WEB_ATTACK/SQL_INJECTION」] [タグ「WASCTC/WASC-19」] [タグ「OWASP_TOP_10/A1」] [タグ「OWASP_AppSensor/CIE1」] [タグ「PCI/6.5.2」]
[ホスト名 "www.site.com"] [uri "/results"] [unique_id "UBREwh@DH6YAAGY0LjMAAAAE"]
この追加情報が役立つことを願っています
php - 特定のIPアドレスからアクセスした場合、Joomla管理コンソールを使用できません
私はこれらのことの専門家ではないので、あなたの何人かが私を助けてくれることを本当に望んでいます。以下は私の問題であり、次はそれを調査するために私がしたことです。
問題の説明:
過去2日間、ホームネットワークからjoomlaWebサイトの管理者ページを使用できません。
1)次のURLを使用すると、管理者アカウントに正常にログインできますexample.com/administrator
。ただし、ログイン後、ページ内でクリックした他のリンクは次のいずれかです。
a)「サーバーから接続が切断されました」というメッセージを送信するか、
index.php
b)ブラウザはページ自体をダウンロードしようとします。[保存]をクリックしてページをダウンロードすると、0バイトのindex.phpファイルがダウンロードされます。
2)URLを使用すると、管理者アカウントにログインできませんexample.com/administrator/index.php
。上記の1.a)と1. b)に示されている2つのことのいずれかを実行します。
3)この動作は、使用しているOS /ブラウザー(Windows 7、Mac OS、IE上のUbuntu Linux、Chrome、Firefox、およびiPhoneでテスト済み)に関係なく一貫しています。ブラウザーのキャッシュをクリアしても効果はありません。
4)この問題は、自宅のワイヤレスブロードバンドを使用している場合にのみ発生します。他のIPを使用する場合(たとえば、個別のISPアカウント、iPhoneでの3g接続の使用など)、管理バックエンドに適切にアクセスして使用できます。家庭用ブロードバンドを使用してアクセスできない同じマシン/スマートフォンは、他のISPに接続すると完全に機能します。
5)私のウェブサイトの他のすべてのページは、私の自宅のブロードバンドから問題なくアクセスできます。問題は/administrator/index.phpページにアクセスすることだけにあります。
6)自宅のブロードバンドを使用して、anonymous Webプロキシを使用してアクセスしようとすると、機能します。
私の調査/考えられる問題
1)最初に思ったのは、自宅のブロードバンドのアウトバウンドIPがサーバーホストで禁止されていることです。ホストに連絡したところ、IPが禁止されていないことを確認しました。実際、彼らはファイアウォールルールの私のIP範囲をチェックすることだけを明示的に許可していました。助け無し。
2)次に、問題はApacheサーバーの構成にあると思いました。そのため*.php
、ブラウザーからファイルにアクセスするたびに、サーバーはそのファイルをレンダリングせず、ブラウザーにダウンロードを許可しません。ただし、別のIP上の他のコンピューターから管理ページにアクセスできるため、そうではないはずです。
3).htaccessにIPベースのフィルタリングがないことを確認しました。Joomlaレベルのソフトウェアファイアウォールを使用していません。
つまり、特定のIPからアクセスするときに、サーバーが接続を切断するか、.phpファイルを(レンダリングではなく)ダウンロードできるようにすることが原因です。
何かアイデア、トラブルシューティングの手順はありますか?
編集(追加の詳細):
問題は基本的にこれに要約されます。特定のIP範囲から*.phpページに直接アクセスしようとすると、サーバーが接続を切断する原因になります。それで、
example.com/administrator
==>動作しますが、
example.com/administrator/index.php
==>接続が切断されました!
そして、これは特定のIP範囲(たとえば203.101。。)でのみ発生します。
さて、昨夜、私のWebサーバー管理者は私に1つの興味深い詳細を教えてくれました:
私の問題が始まった朝、joomla / component / searchモジュールに対するSQLインジェクション攻撃がたくさんありましたが、攻撃は「
mod_security
」によってブロックされました。どういうわけか「mod_security」がIPをブロックする可能性はありますか?または、いくつかのIDSである可能性がありますか?
ruby-on-rails - Railsアプリの「selectfrom」という言葉がクラッシュします
さて、これはデバッグするのに絶対に腹立たしいです、私はついにそれが何であるかを理解しました。どうやって、なぜかわからないけど...
さらに悪いことに、それは私の開発環境に影響を与えないので、私はそれをテストすることができません..それは本番環境(apache / phusionpassenger)でのみ発生します。
さらに、何らかの理由で500エラーが生成されていないため、ログを読み取ることができます...このエラーが発生しているため、役に立ちません。私が最初に目にするのは、500ページでは信じられないレールの標準ではない「500.shtml」を探すことです(500.htmlだけではありませんか?)。このようなものは、apacheか何かによって生成されています。
「selectfrom」に一致する説明がある場合は、アプリが404ページに転送されます(上記の500.shtmlが欠落しているわけではありません)。
これは私のサーバー上のいくつかのapacheモジュールに関係していると思いますか?それが私が考えることができる唯一のことです
単語が正確に「選択」されていなくても、それは実行されます。それは「スナックのグループからあなたの選択を喜んで取る」かもしれません、そしてそれはまだそれを引き起こします。
私はrootアクセス権を持っているので、ホストと話すことができますが、レールのサポートが提供されていないため、これを引き起こす可能性のあるものについてさらにアイデアを得ることができます。
apache - HTTP POST 攻撃のブロック
サーバーへの HTTP POST 攻撃を受けています。拒否速度を改善し、Apache の負担を軽減するために、これらのすべてのリクエストを mod_security でキャッチする代わりに 403 に送信したいと考えています。現時点で mod_security を介して何が起こっているかを次に示します。
mod_rewrite を介して index.php へのアクセスを 403 に送信しようとしていますが、機能していないようです。これらは POST には当てはまらないか、何か不足していると思います。これが私が今使っているものです:
サーバー名は上記のような構造になっていますが、明らかな理由からいくつかの一般的な名前に置き換えました。
mod_rewriteルールを介して、これと私が間違っている可能性があることについて、誰かがフィードバックを提供できますか?
ありがとう!