Apache 错误日志中奇怪的 ModSecurity 条目

Apache 错误日志中奇怪的 ModSecurity 条目

我最近将我的 VPS 迁移到 Plesk Onyx v17(在 Ubuntu 14.04 上运行),今天早上检查错误日志时,我注意到多个类似这样的记录:

[Tue Apr 11 06:26:33.063983 2017] [:error] [pid 3306:tid 140450353870592] [client XXX.XXX.XXX.XXX] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/apache2/modsecurity.d/rules/comodo/12_HTTP_Protocol.conf"] [line "139"] [id "217270"] [rev "2"] [msg "COMODO WAF: Request Containing Content, but Missing Content-Type header||www.example.com|F|2"] [data "REQUEST_HEADERS=0"] [severity "CRITICAL"] [hostname "www.example.com"] [uri "/"] [unique_id "WOyvWX8AAQEAAAzqQuAAAAAA"]*

这里 XXX.XXX.XXX.XXX 是我的 VPS 的 IP 地址。我决定调查这个错误,但是,当我打开 Comodo WAF 规则文件 12_HTTP_Protocol.conf 时,我注意到那里实际上没有 ID 为“217270”的规则:在规则 217261 之后列出的下一个规则是 217280……?

看起来我被困在这里了...有什么想法/建议吗?

答案1

新的 Comodo 规则已解决该问题更新4 月 10 日。此更新删除了有问题的规则 ##217220、217250 和 217270。这就是我没有在文件中看到 ID 为 217270 的规则的原因(它是更新的规则)。显然,ModSecurity 仍在运行旧规则集,我现在重新启动了服务器,所以希望问题现在已解决。

相关内容