1

我刚刚通过 WHM 和 OWASP ModSecurity Core Rule Set 在我的 CentOS 服务器上启用了 mod_security。

到目前为止,我已经看到了一些非常有用的东西,但也有一些非常烦人、不是很有用的东西,例如:

016-06-23 10:00:01      127.0.0.1   WARNING 200  960008: Request Missing a Host Header

2016-06-23 10:00:01     127.0.0.1   NOTICE  200  960009: Request Missing a User Agent Header  More

2016-06-23 10:00:01     127.0.0.1       200  981204: Inbound Anomaly Score Exceeded (Total Inbound Score: 5): Request Missing a User Agent Header

基本上 95% 的点击量(很多)都是这样的,来自 localhost。

这究竟是什么?我应该简单地将本地主机列入白名单,是否存在安全问题?

谢谢

4

1 回答 1

2

只有你才能诚实地回答这个问题。

听起来你有一些在本地运行的东西连接到你的网络服务器。也许是一个脚本来检查网站是否启动?也许其他东西可以得到一些网络服务器。

无论它没有设置:

  1. 主机标头:您要访问的站点 - 因此猜测脚本是使用 IP 地址连接还是不传递主机名。
  2. 用户代理:所有浏览器都传递一个用户代理,所以当它不存在时,它很可能是一个脚本。这并不是说该脚本是恶意的还是有用的。

这些规则本身都不是真正的问题或安全问题。它们只是一个迹象,表明它可能不是浏览器,很可能是脚本,所以可能想要阻止。

老实说,我会弄清楚这是怎么回事。正如我所说的,我猜它可能是一个心跳检查脚本来检查它是否仍在运行。如果是这样,那么将这两个规则的 localhost 列入白名单就没有问题。如果没有,那么您可以决定是否要加入白名单。

我个人更喜欢只将必要的内容列入白名单,而不是将所有 localhost 的全部列入白名单,因此要将这些规则列入白名单,您可以在规则之前添加这样的配置(因为 ctl 命令希望在它之后修改规则):

SecRule REMOTE_ADDR "@ipMatch 127.0.0.1" "id:1000,phase:2,nolog,ctl:ruleRemoveById=960008;ctl:ruleRemoveById=960009"
于 2016-06-25T19:06:28.673 回答