ModSecurity 的审计日志记录实际上意味着什么？

Question

首先要检查的是它是否真的是 Bing Bot。伪造您的 User-Agent 标头非常简单，各种恶意机器人一直在这样做。真正的 Bing Bot 总是来自具有反向查找的 IP 地址<something>.search.msn.com。然后您应该检查返回域的正向查找：

$ dig +short -x 157.55.16.222
msnbot-157-55-16-222.search.msn.com.
$ dig +short msnbot-157-55-16-222.search.msn.com
157.55.16.222

有一些这里有好的建议关于 PCRE 限制问题。看看您是否可以找出导致问题的规则并从那里开始。

[severity "CRITICAL"]不足以确定请求是否被阻止。请求可能被阻止[severity "NOTICE"]或允许通过，具体[severity "CRITICAL"]取决于您的配置和严重性原因。我看到的请求被阻止时的字符串是Access denied with code 403 (phase 2).（或有时(phase 1).）

如果您可以在访问日志中追踪到相同的请求，则可以检查那里的返回代码以确保万无一失。您可以使用 IP 地址和时间戳来执行此操作（这有点模糊，因为 IP 地址可以在一秒钟内轻松发出多个请求。）或者，如果您有mod_unique_id您可以将其添加到访问日志中，以便匹配 mod_security 日志中的任何行。为此，请将其添加%{UNIQUE_ID}e到您的LogFormat行中。

Answer 1

首先要检查的是它是否真的是 Bing Bot。伪造您的 User-Agent 标头非常简单，各种恶意机器人一直在这样做。真正的 Bing Bot 总是来自具有反向查找的 IP 地址<something>.search.msn.com。然后您应该检查返回域的正向查找：

$ dig +short -x 157.55.16.222
msnbot-157-55-16-222.search.msn.com.
$ dig +short msnbot-157-55-16-222.search.msn.com
157.55.16.222

有一些这里有好的建议关于 PCRE 限制问题。看看您是否可以找出导致问题的规则并从那里开始。

[severity "CRITICAL"]不足以确定请求是否被阻止。请求可能被阻止[severity "NOTICE"]或允许通过，具体[severity "CRITICAL"]取决于您的配置和严重性原因。我看到的请求被阻止时的字符串是Access denied with code 403 (phase 2).（或有时(phase 1).）

如果您可以在访问日志中追踪到相同的请求，则可以检查那里的返回代码以确保万无一失。您可以使用 IP 地址和时间戳来执行此操作（这有点模糊，因为 IP 地址可以在一秒钟内轻松发出多个请求。）或者，如果您有mod_unique_id您可以将其添加到访问日志中，以便匹配 mod_security 日志中的任何行。为此，请将其添加%{UNIQUE_ID}e到您的LogFormat行中。

ModSecurity 的审计日志记录实际上意味着什么？

答案1

相关内容