Modsecurity - 整个网页被发布到日志

Modsecurity - 整个网页被发布到日志

我在 Ubuntu 18.04 上运行最新版本的 Modsecurity,但遇到了一个奇怪的问题,无法通过搜索找到。

问题是,我的服务器的某些访问者将整个网页内容发布到日志中。这些帖子通常是 GET,内容长度通常为 14818 或更长。

显然,这会使日志变得更大,但更重要的是,在分析如此多的内容时,它会陷入困境,从而阻碍安全性。

日志太大了,无法在此处发布,因此我只发布了顶部标题行。内容从下面的“--03dd7202-E--”部分开始,然后继续大约 350 行。这是域目录根目录中 index.html 文件的完整内容。该连接似乎来自俄罗斯,这有什么意义吗?

我不明白这是怎么可以接受的行为?我在 apache2 日志中没有看到此内容,只在 Modsec_audit.log 中看到

希望有人知道这个问题,并能建议一个查看方向,而不用看整个日志本身。它有 400 多行。太多了,无法在这里发布。

注意:这与上传任何类型的文件无关。这与我在 modesecurity 日志中获取网页内容(在我的服务器上)有关。

谢谢

--03dd7202-A--
[03/Mar/2019:18:20:30 --0500] XHnhBvbr4wow5A1f3YZxVmAAAAU 46.118.156.122 34262 192.168.4.12 80
--03dd7202-B--
GET / HTTP/1.1
Referer: https://mamylik.ru/
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727)
Host: MySampleDomain.com

--03dd7202-F--
HTTP/1.1 200 OK
Set-Cookie: phpbb3_t6uai_u=1; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_k=; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_sid=b5b4cde34n4520cac0f57bb30657e4b9; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Cache-Control: private, no-cache="set-cookie"
Expires: Sun, 03 Mar 2019 23:20:30 GMT
Vary: Accept-Encoding
Content-Length: 14818
Content-Type: text/html; charset=UTF-8

--03dd7202-E--
<!DOCTYPE html>
<html dir="ltr" lang="en-gb">
<head>
<meta charset="utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1" />

<title>MySampleDomain.com - Index page</title>




    <link rel="alternate" type="application/atom+xml" title="Feed - MySampleDomain.com" href="/app.php/feed?sid=b5b4cde34n4520cac0f57bb30657e4b9">          <link rel="alternate" type="application/atom+xml" title="Feed - New Topics" href="/app.php/feed/topics?sid=b5b4cde34n4520cac0f57bb30657e4b9">               


<link href="./assets/css/font-awesome.min.css?assets_version=2" rel="stylesheet">
<link href="./styles/elegance_3.2.5/theme/stylesheet.css?assets_version=2" rel="stylesheet">

答案1

https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html

鲜为人知的是,我最初开始研究 ModSecurity 是因为无法记录完整的 HTTP 事务数据而感到沮丧。审计日志就是实现这一点的首批功能之一。

从 中删除E("Response body") 参数SecAuditLogParts。请参阅“表 4.4. 审计日志部分”部分了解所有可能的参数,并仅记录您想要的参数。

相关内容