问题标签 [mod-security]

几天前我注意到 apache 错误日志中出现以下错误：

/[2013 年 10 月 1 日星期二 15:11:17] [错误] [客户端] ModSecurity：删除集合失败（名称“ip”，密钥“_27752be7ee1615b4d97602d4788e8d99184c9549”）：内部错误 [主机名“our.hostname.com”] [uri“ "] [unique_id "UkrmE8CoAfQAAAuMTmMAAAAK"]。

在四处挖掘之后，我发现它可能与 mod_security 中的一个错误有关，据说该错误在更高版本中已修复（我们正在运行 2.6.8 ）。我升级到最新的稳定版 - 2.7.5。

不幸的是，我仍然在日志中看到错误。

如果有人能对这个问题有所了解，我会很高兴。

PS：我们在这台机器上运行 CentOS 6.4。

我不是很技术所以先道歉！不幸的是，我不得不解决这个问题，因为处理我的专用服务器的公司并没有提供什么帮助。

真的希望有人可以对此有所了解。我们托管了大约 100 个网站，目前，我们服务器上的所有网站都像 yoyos 一样上下波动。似乎没有一种模式——它非常零星且断断续续。通常，您只需单击其中一个站点，例如 www.innivo.com 几分钟，您会看到该站点退出，然后在刷新几次后，它会返回，然后返回 – 您明白了。

在 Chrome 中，我得到：未收到数据

无法加载网页，因为服务器未发送数据。

错误代码：ERR_EMPTY_RESPONSE

在 Firefox 中我得到： 连接已重置

加载页面时重置与服务器的连接。

该站点可能暂时不可用或太忙。请稍后再试。如果您无法加载任何页面，请检查您计算机的网络连接。如果您的计算机或网络受到防火墙或代理的保护，请确保允许 Firefox 访问 Web。

服务器并没有完全关闭，它似乎没有为页面提供服务。这也符合我在电话中提到的防火墙理论。

我们已经向一家安全公司支付了很多钱，他们删除了一些恶意软件，希望它能解决问题，但他们现在说服务器完全干净并且没有漏洞利用。我的服务提供商说，除非我在服务器上升级 PHP，否则他们不会提供帮助，但尽管我打算这样做，但我很确定这不会解决网站一直掉线的问题。

我发现这篇文章准确地描述了正在发生的事情，但他并没有真正说明如何修复它，或者即使他曾经得到修复，但这是我发现的最接近的东西！ http://progblog10.blogspot.co.uk/2013/09/modsecurity-causes-sporadic-no-data.html

我在服务器上查找了这个，但 mod_security 似乎不存在，否则我会尝试禁用它以查看它是否有所作为。不过，我认为，这种防火墙理论听起来是有道理的。我想知道我们上周更新 CPanel 时是否有其他类型的防火墙可能被激活或更新。

我正在运行 WHM / CPanel / Apache

任何帮助将不胜感激。希望这也发生在其他人身上！

再会，

我在 Tomcat 前面运行 Apache2 服务器，我需要在 Apache2 层实现 DDOS 保护机制。我有两个候选者：带有 OWASP 核心规则集的 mod_evasive 和 mod_security2。

Mod_security 已经安装用于整体保护，但问题是：除了 mod_security 是否值得为 DDOS 添加 mod_evasive（它是否有任何主要优势）或 /experimental_rules/ 目录中的 OWASP crs 规则（modsecurity_crs_11_dos_protection.conf）提供一样的保护？还是只是偏好问题？这些网站通常不是很高的流量。

马丁

我已经用 modsecurity latest-stable 2.7.5 编译了 nginx 最新稳定版 1.4.3，但是当它工作时我无法让它识别我的自定义规则。我正在使用 owasp crs 2.2.8（仅使用基本规则和协作检测阻止）。我将我的 modsecurity_crs_15_custom_rules.conf 附加到 modsecurity.conf 推荐规则之后和 20-30 规则之前。像这样的规则非常适用于例如 apache 2.2.22

或者这个

我知道自从对 modsecurity 的支持添加到 nginx 后不久，但这个应该可以工作。我真的很喜欢 nginx，他的速度、模块和基于事件的方法，我不会回去。任何提示如何管理这个？

我正在运行 mp3 歌曲下载网站。当我尝试下载歌曲时，出现此错误：

不能接受的！

在此服务器上找不到所请求资源的适当表示。此错误是由 Mod_Security 生成的。

我的网站是http://www.playlist.pk/你可以下载任何歌曲试试看。请告诉我如何解决这个错误？

我知道我可以在 rewritecond 中检查 GET 查询字符串参数，如下所示：

如何检查请求正文中的 POST 参数？我听说 mod_security 可以做到，但我没有找到任何示例来说明如何将 mod_security 与 mod_rewrite 结合使用，就像上面的示例一样。

我打算使用这样的东西来处理 POST：

...除了我需要一个 RewriteCond 来检查 POST 参数以查看是否“try = 3”。

modsecurity 可以检查请求正文并将检查结果加载到环境变量中吗？那会工作...

我希望阻止访问任何网站中名为“modules.php”的任何文件。我在 mod security 中写了一条规则，但我不确定它是否有效？这是规则

那是对的吗？

这是一个风滚草问题的延续： 使用 PHP 保存页面时出现禁止错误

我的客户端使用的主机似乎使用某些东西来检查/阻止潜在的恶意脚本被保存到服务器。当我尝试保存使用任何PHP 的文件时，它会返回 Forbidden。

大多数情况下，它只是include()，通常只有一两个。

任何人都知道在通过 POST/PHP 更新文件时可以安全地保持我的 PHP 完好无损的方法吗？

（我真的不需要它来添加额外的 PHP，只需保留其中的内容即可。）

PS :: 它在本地工作，而不是在他们的主机服务器上。

我一直在寻找几天，还没有找到解决方案：/

我正在尝试将 Ubuntu 12.04 服务器上 modsecurity 上的一系列 ips (Googlebots) 列入白名单。例如，这是我需要列入白名单的范围：

66.249.64.0/19

我已经尝试了其他人建议的几种方法，但是只有单个 ips 被阻止，当我尝试作为一个范围时，白名单被忽略。我已在文件底部的新部分中将规则添加到 /usr/share/modsecurity-crs/modsecurity_crs_10_config.conf 中。

这有效：

SecRule REMOTE_ADDR "^66.249.65.3" 阶段:1,nolog,allow,ctl:ruleEngine=Off

这些不起作用：

SecRule REMOTE_ADDR "^66.249.64.0/19" 阶段:1,nolog,allow,ctl:ruleEngine=off

SecRule REMOTE_ADDR "@ipMatch 66.249.64.0/19" "phase:1,nolog,allow"

SecRule REMOTE_ADDR "^66.249.64\0/19$" 阶段:1,nolog,allow,ctl:ruleEngine=Off

我已经看到了几种不同的语法建议，但似乎都不适用于我的安装。mod-security 的版本重要吗？有什么建议吗？TIA

我们在应用服务器上安装了 ModSecurity，有时请求被阻止，因为 ModSecurity 检测到 PHPSESSID cookie 上的 SQL 注入。

GET /somepage.php HTTP/1.1
主机：www.domain.com
用户代理：Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:26.0) Gecko/20100101 Firefox/26.0
接受：text/html,application/xhtml +xml,application/xml;q=0.9, / ;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=peu4e3ftt 241or q5nbnuc6ocs4
Connection: keep-alive

消息：使用代码 403（第 2 阶段）拒绝访问。[file "C:/Program Files/Apache Software Foundation/Apache2.2/conf/extra/modsecurity_crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "539"] [id "981248"] [msg "检测链接的 SQL 注入尝试1/2"] [数据“ 241 或”] [严重性“CRITICAL”] [标记“WEB_ATTACK/SQLI”] [标记“WEB_ATTACK/ID”]

有什么建议可以避免这种误报？