Apache: mod_security ошибка.

Автор masterb, 12 марта 2008, 04:16:55

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

masterb

Если в сообщении присутствует конструкция %английский_символ - выдается ошибка Bad Request при отправке или предв. просмотре.

modsec_debug.log

[12/Mar/2008:04:00:44 +0300] [forum.XXX/sid#80cf340][rid#844c1c0][/index.php][1] Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:message. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"]


modsec_audit.log

--c0166218-A--
[12/Mar/2008:04:00:44 +0300] 93vY-n8AAAEAAHeCgIQAAAAC 127.0.0.1 41404 127.0.0.1 443
--c0166218-B--
POST /index.php?action=post2 HTTP/1.1
Host: forum.sdi.sar
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.12) Gecko/20080214 Firefox/2.0.0.12
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://forum.XXX/index.php?topic=11.0
Cookie: PHPSESSIDF=XXX; SMFCookie547=a%3A4%3A%7Bi%3A0%3Bs%3A1...s%3A40%3A%22f6fd1...c4daafb3fdd7a19a346e%22%3Bi%3A2%3Bi%3A1205286112%3Bi%3A3%3Bi%3A0%3B%7D
Content-Type: application/x-www-form-urlencoded
Content-Length: 217

--c0166218-C--
topic=25&subject=Re%3A+gpg+-+man+page&icon=xx&notify=0&goback=1&num_replies=0&message=%25qqqqqqqqqqqqqqqqq&post=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&sc=0be0815c74f9717699612fc01c1a6221&seqnum=3805448
--c0166218-F--
HTTP/1.1 400 Bad Request
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

--c0166218-H--
Message: Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:message. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"]
Action: Intercepted (phase 2)
Stopwatch: 1205283644496126 38939 (38116* 38442 -)
Producer: ModSecurity v2.1.2 (Apache 2.x)
Server: Apache

--c0166218-Z--


Также страница с характеристиками в админке не сохраняется, т.к. там время имеет формат %T, тоже с процентом и символом.

Можно ли решить это на уровне движка? Или же в modsec ошибка в файле 20_protocol_violations.conf? как пофиксить не удаляя там нужные строки?

Mavn

выруби мод секурити и ошибки не будет!
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

masterb

Цитата: Mavn от 12 марта 2008, 10:11:03
выруби мод секурити и ошибки не будет!
гы
Если дать молотком по процессору ошибки тоже не будет :) Иль апач отключить. Это не выход разумеется.
xss не пофиксен по-моему даже в 1.1.4 версии, а вы про выключите mod_sec.
А так там всего лишь 2 строки закоментить в одном из конфигов мода, и ошибки не будет, боюсь что кто-то сможет провести encode атаку :D
Поэтому надо фильтр доработать как нить.

masterb

Решил добавлением

<IfModule security2_module>
SecRequestBodyAccess Off
</IfModule>

в настройки виртуалхоста.


masterb

Цитата: digger от 13 марта 2008, 18:54:23
Выключили фильтрацию запросов. А в чем тогда смысл мода?
Dependencies/Notes: This directive is required if you plan to inspect POST_PAYLOADS of requests. This directive must be used along with the "phase:2" processing phase action and REQUEST_BODY variable/location. If any of these 3 parts are not configured, you will not be able to inspect the request bodies.

Как я понял только post запросов, т.к. все остальное работает, залитый шелл при запуске на 404 not found перенаправляет...

Сергей Д.

Несколько дней в логах сервера прописываются ошибки такого плана: Access denied with code 424 (phase 2)..........
Раньше они тоже появлялись (периодически), но в меньших количествах. А тут на 3-5 страниц.
Что они могут означать и нужно-ли что-либо предпринимать?
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Yworld_garry

Найти спамера который достает и провести с ним разъяснительные мероприятия)))

Сергей Д.

На форуме спам не часто появляется, это робот-спамер, насколько понимаю? Причем меняет свой IP адрес?
И вот ещё ошибка, такой раньше, вроде, не было: (36)File name too long: access to /index.php++++++++.......
Тоже относится к спаму?
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Yworld_garry


Сергей Д.

Спасибо вам, Yworld_garry. А то для меня эти логи, как "китайская грамота".
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Серый Лис

#11
Цитата: Сергей Николаевич от 21 декабря 2014, 00:44:58как "китайская грамота".
Для меня тоже.
Тем не менее, именно самое подходящее чтиво для админа. Хотя с недавних пор взял себе за правило, стараться вникать
не только логи админки, но и логи сервера,  для чего держу 2 папки логов error  и access сервера на раб. столе. Чем чаще читаешь их, тем интереснее. А "рассказать" они могут многое. )
опыт прийдет. (со временем)

Сергей Д.

Надо-бы и себе такое правило завести.  :)
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Серый Лис

#13

Сергей Д.

Спасибо за ссылку! Уверен, что пригодится.
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Сергей Д.

Цитата: Yworld_garry от 21 декабря 2014, 00:09:28
Найти спамера который достает и провести с ним разъяснительные мероприятия)))
Вначале попробовал заблокировать ботов по IP адресу и логов с данной ошибкой стало меньше....
Потом опять наплыв ботов с новыми IP адресами....
Понял, что дело бесполезное - банить по IP взломщиков. Размножаются эти вредители, что-ли?
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.

Серый Лис


Сергей Д.

Цитата: gray fox от 24 декабря 2014, 18:32:30
Совсем нет. Информация тут..  http://www.simplemachines.ru/index.php?topic=8621.0
Спасибо! Ознакомился!

Цитата: Validoll от 04 июня 2010, 16:08:04
А что тут особо говорить-то? Следить за ним, ставить пароли посложнее, делать бекапы и обновлять ядро и установленные моды.
п.с. да, и слежение за уязвимостями никто не отменял...
Из того что прочёл, вот это, по-моему, самое правильное решение. Ну а забанить всех спамеров-взломщиков, насколько понимаю, не получится.
Форум za40.org - знакомства и общение тех, кому за 40.  :)
TheHost - надёжный, быстрый и недорогой хостинг с отличной техподдержкой 24/7. Выбор потребителя 2020!  O0  Форум za40.org размещён именно на этом хостинге.