我记得使用 apache2 的日志模块或附加组件来检查进出我的网络服务器的 POST/PUT/GET 数据的内容。
根据当时的屏幕截图,日志如下所示:
--80852032-A--
[09/Apr/2018:16:04:31 --0700] Wsvxf6wQyCwAAAajw9gAAAAD 10.6.30.254 11378 10.6.30.44 433
--80852032-B--
POST / HTTP/1.1
Host: 172.18.64.136
Accept: */*
testheader: testvalue
Content-Length: 8
Content-Type: application/x-www-form-urlencoded
--80852032-C--
testbody
--80852032-F--
HTTP/1.1 200 OK
Upgrade: h2,h2c
Connection: Upgrade
Last-Modified: Fri, 22 Mar 2013 17:15:18 GMT
ETag: "10d-4d88699718396"
Accept-Ranges: bytes
Content-Length: 269
Vary: Accept-Encoding
Content-Type: text/html
--80852032-E--
<html><body><h1>It works!</h1>
<p>Server pc44</p>
<p>eth0: 10.6.30.44/24
eth1: 172.16.200.44/24 2001:172:16:200::44/64<p>
<p>Service:
http 80 8080 443 8443
ftp 21 2121
smtp 25 8025 465 8465
pop3 110 8110 995 8995
imap 143 8143 933 8993
samba</p>
答案1
您向我们展示的是 Modsecurity 生成的日志。您可以根据如下所示的段消息判断它们是 ModSecurity:
--6b253045-A--
...
--6b253045-B--
...
--6b253045-C--
...
--6b253045-F--
...
--6b253045-E--
...
--6b253045-H--
...
--6b253045-Z--
Modsecurity 是 Apache 之上的第 7 层防火墙/过滤器,属于一类称为 WAF(Web 应用程序防火墙)的安全应用程序。
libapache2-mod-security相应的软件包在 Debian 及其衍生系统(包括 Ubuntu)中被称为。
软件包:libapache2-mod-security2
外部资源:
Homepage [www.modsecurity.org]加强 Apache Web 应用程序的安全性
Modsecurity 是一个 Apache 模块,其目的是加强 Web 应用程序的安全性。实际上,它是一个针对 Web 服务器的入侵检测和预防系统。
目前其主要特点是:
审核日志;将完整的请求详细信息存储在单独的文件中,包括 POST 有效负载。
请求过滤;可以分析传入的请求和攻击性的请求
可以被拒绝(或者简单地记录,如果这是您想要的)。此功能可用于防止多种类型的攻击(例如 XSS 攻击、SQL 注入等),甚至允许您在服务器上运行不安全的应用程序(当然,如果您别无选择)。
要安装它,您需要运行:
sudo apt install libapache2-mod-security