Apache: mod_security ошибка.

[masterb]

Если в сообщении присутствует конструкция %английский_символ - выдается ошибка Bad Request при отправке или предв. просмотре.

modsec_debug.log

Код Выделить Развернуть


[12/Mar/2008:04:00:44 +0300] [forum.XXX/sid#80cf340][rid#844c1c0][/index.php][1] Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:message. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"]


modsec_audit.log

Код Выделить Развернуть


--c0166218-A--
[12/Mar/2008:04:00:44 +0300] 93vY-n8AAAEAAHeCgIQAAAAC 127.0.0.1 41404 127.0.0.1 443
--c0166218-B--
POST /index.php?action=post2 HTTP/1.1
Host: forum.sdi.sar
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.12) Gecko/20080214 Firefox/2.0.0.12
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://forum.XXX/index.php?topic=11.0
Cookie: PHPSESSIDF=XXX; SMFCookie547=a%3A4%3A%7Bi%3A0%3Bs%3A1...s%3A40%3A%22f6fd1...c4daafb3fdd7a19a346e%22%3Bi%3A2%3Bi%3A1205286112%3Bi%3A3%3Bi%3A0%3B%7D
Content-Type: application/x-www-form-urlencoded
Content-Length: 217

--c0166218-C--
topic=25&subject=Re%3A+gpg+-+man+page&icon=xx&notify=0&goback=1&num_replies=0&message=%25qqqqqqqqqqqqqqqqq&post=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&sc=0be0815c74f9717699612fc01c1a6221&seqnum=3805448
--c0166218-F--
HTTP/1.1 400 Bad Request
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

--c0166218-H--
Message: Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:message. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"]
Action: Intercepted (phase 2)
Stopwatch: 1205283644496126 38939 (38116* 38442 -)
Producer: ModSecurity v2.1.2 (Apache 2.x)
Server: Apache

--c0166218-Z--


Также страница с характеристиками в админке не сохраняется, т.к. там время имеет формат %T, тоже с процентом и символом.

Можно ли решить это на уровне движка? Или же в modsec ошибка в файле 20_protocol_violations.conf? как пофиксить не удаляя там нужные строки?

[Mavn]

выруби мод секурити и ошибки не будет!

[masterb]

выруби мод секурити и ошибки не будет!

гы
Если дать молотком по процессору ошибки тоже не будет Иль апач отключить. Это не выход разумеется.
xss не пофиксен по-моему даже в 1.1.4 версии, а вы про выключите mod_sec.
А так там всего лишь 2 строки закоментить в одном из конфигов мода, и ошибки не будет, боюсь что кто-то сможет провести encode атаку
Поэтому надо фильтр доработать как нить.

[masterb]

Решил добавлением

<IfModule security2_module>
SecRequestBodyAccess Off
</IfModule>

в настройки виртуалхоста.

[digger®]

Решил добавлением

<IfModule security2_module>
SecRequestBodyAccess Off
</IfModule>

в настройки виртуалхоста.

Выключили фильтрацию запросов. А в чем тогда смысл мода?

[masterb]

Выключили фильтрацию запросов. А в чем тогда смысл мода?

Dependencies/Notes: This directive is required if you plan to inspect POST_PAYLOADS of requests. This directive must be used along with the "phase:2" processing phase action and REQUEST_BODY variable/location. If any of these 3 parts are not configured, you will not be able to inspect the request bodies.

Как я понял только post запросов, т.к. все остальное работает, залитый шелл при запуске на 404 not found перенаправляет...

[Сергей Д.]

Несколько дней в логах сервера прописываются ошибки такого плана: Access denied with code 424 (phase 2)..........
Раньше они тоже появлялись (периодически), но в меньших количествах. А тут на 3-5 страниц.
Что они могут означать и нужно-ли что-либо предпринимать?

[Yworld_garry]

Найти спамера который достает и провести с ним разъяснительные мероприятия)))

[Сергей Д.]

На форуме спам не часто появляется, это робот-спамер, насколько понимаю? Причем меняет свой IP адрес?
И вот ещё ошибка, такой раньше, вроде, не было: (36)File name too long: access to /index.php++++++++.......
Тоже относится к спаму?

[Yworld_garry]

Скорее всего да...

[Сергей Д.]

Спасибо вам, Yworld_garry. А то для меня эти логи, как "китайская грамота".

[Серый Лис]

как "китайская грамота".

Для меня тоже.
Тем не менее, именно самое подходящее чтиво для админа. Хотя с недавних пор взял себе за правило, стараться вникать
не только логи админки, но и логи сервера,  для чего держу 2 папки логов error  и access сервера на раб. столе. Чем чаще читаешь их, тем интереснее. А "рассказать" они могут многое. )
опыт прийдет. (со временем)

[Сергей Д.]

Надо-бы и себе такое правило завести. 

[Серый Лис]

логи "китайская грамота"

http://www.instructing.ru/webmasters/logs.html

[Сергей Д.]

Спасибо за ссылку! Уверен, что пригодится.

[Сергей Д.]

Найти спамера который достает и провести с ним разъяснительные мероприятия)))

Вначале попробовал заблокировать ботов по IP адресу и логов с данной ошибкой стало меньше....
Потом опять наплыв ботов с новыми IP адресами....
Понял, что дело бесполезное - банить по IP взломщиков. Размножаются эти вредители, что-ли?

[Серый Лис]

Понял, что дело бесполезное

Совсем нет. Информация тут..  http://www.simplemachines.ru/index.php?topic=8621.0

[Сергей Д.]

Совсем нет. Информация тут..  http://www.simplemachines.ru/index.php?topic=8621.0

Спасибо! Ознакомился!

А что тут особо говорить-то? Следить за ним, ставить пароли посложнее, делать бекапы и обновлять ядро и установленные моды.
п.с. да, и слежение за уязвимостями никто не отменял...

Из того что прочёл, вот это, по-моему, самое правильное решение. Ну а забанить всех спамеров-взломщиков, насколько понимаю, не получится.