我已经在 apache2 中使用 Reverse Proxy+Mod Security 设置了虚拟主机配置。但它重叠，重新启动 apache2 时不会出现任何错误，但第二个虚拟主机配置与第一个重叠。

第一个工作正常。

我的虚拟主机配置如下：

How can i block all access to a php file using mod_sec?

The file name has the form: sm6#.php, being # a random digit.

我已经在 Apache 2.2.21 上配置了 Mod 安全性，并且我已经成功配置了 Mod 安全规则。我面临的问题是，如果我在 Mod 安全规则配置文件中配置了错误的规则，那么 Apache 服务器将无法启动，而我有两个手动搜索有问题的规则。Apache 错误日志没有提供有关 Mod-Security Rule 中错误的足够信息。Mod Security 审计日志在这里不相关，因为它们记录了哪些规则是触发器以及原因。我是否需要配置 Apache 错误日志以及如何配置？

我已经使用 php 和 mysql 构建了某种 CMS 应用程序。一切都在 localhost 上运行良好，所以我把它移到了网络上。现在，当有人添加新文章时，我遇到了奇怪的问题。有时它只是正常添加，有时用户会得到这个错误：

不可接受 在此服务器上找不到请求资源 /path_to/file.php 的适当表示。

在 Google 上呆了一段时间后，我发现 mod_security 正在阻止我的脚本（或类似的东西）。有什么方法可以让我看到它为什么会阻止我的脚本？

我对 mod_security 不是很熟悉，但据我所知，它可以通过强制执行一些规则来为 Web 应用程序提供另一个级别的安全性。那么我可以查看哪个规则阻止了我的应用程序以便我可以修复它吗？

一些附加信息：

/path_to/file.php（发生此 Not Acceptable 错误的文件）是仅用于 AJAX 的 .php 文件。我正在通过 POST 向它发送一些数据，并且我也在发送一些文件（图片、文本文档等）。服务器上的文件上传限制为 20MB。目前我正在发送 17 张图片（约 10MB），但仍然失败（我收到 Not Acceptable 错误）。但我也尝试只发送一张图片和文件，并且没有问题。

编辑：我正在使用共享主机（使用 CPanel）。

I have a weird issue when I try to save a new user through the admin interface. I get a 403 HTTP status code error.

I've changed nothing in the auth application.

Here are my middlewares:

I've no idea where to look, or either have any idea of what could provocate this. Any clue is welcome.

我最近设置了一个新服务器并开始看到以下错误日志条目。

[2012 年 7 月 14 日星期六 05:05:00] [错误] [客户端 xxxxx] ModSecurity：无法访问 DBM 文件“/tmp//global”：权限被拒绝 [主机名“xxxx”] [uri“/games.php”] [unique_id“UAE2PH8AAAEAAAnZRZoAAAAO”]

和

[2012 年 7 月 14 日星期六 04:22:05] [错误] [客户端 xxxx] ModSecurity：无法访问 DBM 文件“/tmp//ip”：权限被拒绝 [主机名“xxxxxx”] [uri“/index.php”] [unique_id“UAEsLX8AAAEAAAg0GL8AAAAD”]

/tmp，/tmp/global.dir并且/tmp/ip.dir都归root所有。奇怪的是，这些网站每小时都会获得数千次点击，但并非每次访问（即使是同一个 URI）都会触发错误。

有没有人有任何想法？

所以，正如上面的标题所说，这与我刚刚实现 mod_security 的事实有关，我想解码日志结果，例如：

\\xe7\\xa9\\x80\\xe7\\x94\\xb0\\xe6\\x81\\xb5\\xe4\\xba\\x8c

只是想知道什么是阻塞

更多数据

ModSecurity：使用代码 403（第 2 阶段）拒绝访问。

模式匹配"(^[\"' \\xc2\\xb4\\xe2\\x80\\x99\\xe2\\x80\\x98;]+|[\\"'\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+$)"

在 ARGS:search_query。[文件“/etc/apache2/mod-security modsecurity_crs_41_sql_injection_attacks.conf”][行“64”][id“981318”][rev“2.2.5”]

[msg "SQL 注入攻击：检测到常见注入测试"] [data "\xe2"]

[严重性“CRITICAL”] [标记“WEB_ATTACK/SQL_INJECTION”] [标记“WASCTC/WASC-19”] [标记“OWASP_TOP_10/A1”] [标记“OWASP_AppSensor/CIE1”] [标记“PCI/6.5.2”]

[主机名“www.site.com”][uri“/results”][unique_id“UBREwh@DH6YAAGY0LjMAAAAE”]

希望这些额外的信息有用

我不是这些事情的专家，这就是为什么真的希望你们中的一些人能帮助我。以下是我的问题，接下来是我为调查它所做的事情。

问题描述：

在过去的 2 天里，我无法从我的家庭网络使用我的 joomla 网站的管理员页面。

1) 如果我使用 URL: ，我可以成功登录到管理员帐户example.com/administrator。但是，登录后，无论我点击页面内的任何其他链接 - 它要么：

a) 向我发送“从服务器断开连接”消息，或

b) 浏览器尝试下载index.php页面本身。如果我点击保存并下载页面，它会下载一个 0 字节的 index.php 文件。

2) 如果我使用 URL，我将无法登录管理员帐户example.com/administrator/index.php。它执行上述 1.a) 和 1.b) 中描述的两件事之一。

3）无论我使用什么操作系统/浏览器，这种行为都是一致的（在 IE、Chrome、Firefox 和 iPhone 上使用 Windows 7、Mac OS、Ubuntu Linux 进行测试。清除浏览器缓存无济于事。

4) 只有当我使用家庭无线宽带时才会出现此问题。如果我使用任何其他 IP（例如单独的 ISP 帐户，在 iPhone 上使用 3g 连接等），我可以正确访问和使用管理后端。无法使用家庭宽带访问的相同机器/智能手机在连接到其他 ISP 时可以正常工作。

5) 我的网站的所有其他页面都可以通过我的家庭宽带访问，没有任何问题。问题仅在于访问 /administrator/index.php 页面。

6）使用我的家庭宽带，如果我尝试使用匿名网络代理访问，它可以工作。

我的调查/可能的问题

1）首先想到的是，我家宽带的出站IP被服务器主机封禁了。我联系了主机，他们确认该IP没有被禁止。事实上，他们在防火墙规则中明确允许我的 IP 范围只是为了检查。没有帮助。

2）接下来，我认为问题出在apache服务器配置上——因为每当*.php从浏览器访问任何文件时，服务器都不会呈现它并允许浏览器下载它。但情况并非如此，因为我可以从不同 IP 上的其他计算机访问管理页面。

3) 我检查了 .htaccess 中没有基于 IP 的过滤。我没有使用任何 Joomla 级别的软件防火墙。

简而言之，当从特定 IP 访问时，某些事情会导致服务器断开连接或允许下载 .php 文件（而不是渲染）。

任何想法，故障排除步骤？

编辑（附加细节）：

问题基本上归结为：尝试直接从特定 IP 范围访问任何 *.php 页面时导致服务器断开连接的原因。所以，

example.com/administrator==> 有效，但是

example.com/administrator/index.php==> 连接断开！

这只发生在特定的 IP 范围内（比如说 203.101... ）。

现在，昨天晚上我的网络服务器管理员告诉了我一个有趣的细节：

在我的问题开始的那天早上，joomla /component/search 模块上有很多 SQL 注入攻击 - 但这些攻击被“ mod_security”阻止了。是否有可能以某种方式反过来阻止 IP 的“mod_security”？或者可能是一些IDS？

好的，这绝对是令人恼火的调试，我终于弄清楚它是什么了。我不知道如何或为什么，虽然......

更糟糕的是，它不会影响我的开发环境，所以我无法对其进行测试。它只发生在生产中（apache/phusion 乘客）。

此外，无论出于何种原因，它都没有产生 500 错误，因此我可以阅读日志......它给出了这个错误，这没有帮助。引起我注意的第一件事是它寻找“500.shtml”，这不是我不相信500页的rails标准（这不只是500.html吗？）。它就像是由apache或其他东西生成的。

如果我有任何与“select from”匹配的描述，它会将我的应用程序转发到 404 页面（不是上面缺少的 500.shtml）

你认为这可能与我服务器上的一些 apache 模块有关吗？这是我唯一能想到的

即使这个词不完全是“选择”，它仍然会这样做。它可能是“从这组零食中愉快地选择你的选择”，它仍然会触发它。

我有 root 访问权限，所以我可以和我的主机交谈，但我想了解更多关于什么可能导致这种情况的想法，因为他们不提供 rails 支持

我的服务器受到 HTTP POST 攻击，我想将所有这些请求发送到 403，而不是让它们被 mod_security 捕获，以提高拒绝速度并减轻 Apache 的负担。这是目前通过 mod_security 发生的事情：

我正在尝试通过 mod_rewrite 将对 index.php 的任何访问发送到 403，但它似乎不起作用。我假设这些要么不适用于 POST，要么我遗漏了一些东西。这是我现在正在使用的：

服务器名称的结构与上面类似，但出于显而易见的原因，我已将其替换为一些通用名称。

任何人都可以通过 mod_rewrite 规则对此提供反馈以及我可能做错了什么吗？

谢谢！