环境: Ubuntu Server 12.04 64Bit 带有 Apache/2.2.22(Ubuntu)和 Worker mpm,带有 modsecurity 2.7.5 和 OWASP CRS 最新版本。 问题: 当服务器的并发用户负载达到 1500 时,Mod_Security 开始在 Apache 的错误日志中显示以下错误,并且服务器 CPU 使用率上升到危险水平。 [Wed Oct 02 21:21:52 2013] [error] [client xxx.xxx.xxx.xxx] ModSecurity: collections_rem...
我在 AWS 上有许多 EC2 服务器,它们在负载均衡器 (ELB) 后面运行 Apache。时不时地,一些 IP 地址会滥用 EC2 服务器上托管的 API,并导致拒绝服务。我无法访问负载均衡器,因此我需要在服务器级别阻止访问。 我更改了 apache 访问日志以根据负载均衡器提供的 X-Forwarded-For 标头显示 IP(否则它仅显示负载均衡器的 IP),因此我可以识别这些 IP 并阻止它们(再次通过指定 X-Forwarded-For)类似以下内容: <Directory api_dir> Set...
防止上传 c99shell、r57shell 和其他 php sheller 的最佳方法是什么?我希望当攻击者上传 shell 时,sheller 不会显示出来。 我使用 mod_security ver 1.x 提前致谢 ...
有没有办法在 Apache 2 中记录响应主体? 我需要发送给用户浏览器的确切内容。 我尝试了mod_security审计日志,但它不会记录所有请求的响应正文。 (我真的很困惑。它记录请求目录中简单 PHP 页面的响应主体,但不会记录另一个目录中另一个文件的响应主体。它只记录响应和请求标头。) 更新:以下是mod_security主配置文件(httpd.conf)中的配置: SecAuditEngine On SecRuleEngine On SecRequestBodyAccess On SecResponseBodyAccess On SecA...
服务器是通过 CentOS 5.9 上的 cpanel 配置的标准 LAMP 堆栈。 我们的一个域中有一个文件,称为 bad.php,服务提供商每秒错误地访问该文件约 10 次。该文件不再存在,我们希望以最有效的方式阻止这些请求。目前,我们返回的是基本的 410 响应,但这仍然涉及绑定 Apache 线程、发送标头等。 理想情况下,我希望只是放弃请求,而不发送任何响应。按 IP 阻止不是一个选项,因为我们需要允许这些 IP 合法访问其他文件。(不,我们不能只是要求他们停止。)我们也没有外部防火墙可以使用(租用服务器,自定义外部防火墙需要额外付费)。 我...
我有一个 .htaccess 文件执行以下操作: RewriteRule ^system(.*)$ /system/app/$1 [QSA,L] ...然后在 /system/app 下面,我有另一个 .htaccess 文件执行以下操作: RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . index.php [QSA] 因此,当您连接到 /system 和 /system/lo...
我正在尝试按照以下说明在 nginx 上安装 ModSecurity: wget https://github.com/SpiderLabs/ModSecurity/archive/master.zip unzip master cd ModSecurity-master ./autogen.sh ./configure --enable-standalone-module 我收到以下错误: Checking plataform... Identified as Linux configure: looking for Apache module ...
我已经在 ubuntu 22.04 中为 apache 安装了 mod 安全模块,使用。 sudo apt-get install libapache2-mod-security2 sudo a2enmod security2 sudo systemctl restart apache2 这将安装安全模块版本 2.9.5 和核心规则集版本 3.3.2。 我设置 SecRuleEngine On 在 /etc/modsecurity/modsecurity.conf 中 并且只保留核心规则集中启用的两个会议,其...
[不是服务器管理员] 我刚刚将现有站点移动到运行 IIS 10 的新服务器 2019。 该网站是一个旧的 .asp 网站,使用带 cookie 的登录。尝试登录时(并在服务器端成功验证)- 我被转发到 403 错误页面。当我通过浏览器删除我的 cookie 时 - 我可以看到网站内容,不再看到错误(当然我看不到受保护的区域) 设置失败请求跟踪后,子状态似乎为 0。下图似乎是来自跟踪文件的相关事件,但似乎没有给我太多信息。 是否有需要配置用于 cookie 的安全设置?如果需要进一步的详细信息,我们很乐意尝试提供。 谢谢 ...
我对 modsecurity 主题还不熟悉,所以答案可能很简单,但是...... 我在新的 nginx/1.24.0 服务器上设置了 modsecurity,并使用了一组默认的推荐规则:coreruleset-3.3.0,从那时起我的 POST XHR 请求就被阻止了。这是一个基本的 Laravel/Livewire 表单。 modsecurity 发送和记录的标头如下所示: POST /livewire/update HTTP/2.0 content-type: application/json origin: https://example.com re...
问题 为什么我的 grep 命令匹配某些行然后因此错误而停止 grep: /var/log/apache2/modsec_audit.log: 二进制文件匹配 我的 grep 命令:grep '^[' /var/log/apache2/modsec_audit.log 我猜日志文件中有二进制内容,这会弄乱 grep?但这只是我的猜测,所以请解释一下原因。另外请解释一下我可以做些什么来解决这个问题。 日志文件本身是 ASCII 文本。我可以使用 less 来读取文件 /var/log/apache2/modsec_audit.log /var/log/apac...
modsecurity 的 paranoia_level = 3 禁止在第 2 阶段使用 owasp crs 版本 3.3.4 的规则 920272 使用 POST 有效负载(application/x-www-form-urlencoded)上传不可打印字符 但有时,它也会触发 UTF-8 编码的密码。 首次尝试停用规则 920272 有效: SecRule REQUEST_URI "/login" \ id:2001,\ phase:2,\ pass,\ nolog,\ ctl:RuleRemoveById=920...
我读Folini 的 Apache ModSecurity 精彩教程。 我正在尝试设置一个运行时排除规则,这将禁用规则 920420 (策略不允许请求内容类型)但仅适用于对某个子目录的请求,例如 /path/to/allow/ /path/to/allow/one /path/to/allow/two 所以我想出了这个: SecRule REQUEST_FILENAME "@beginsWith /path/to/allow/" "phase:1,nolog,pass,id:10001,ctl:ruleRemoveTargetById=920420" ...
也许有经验或有基本知识的人知道自己在做什么(不像我:))可以提供帮助...... 目前,我已安装 Ubuntu 20.04、OpenLitespeed 和 Cyberpanel。 我已经通过 pa.domain1.com 上的 docker 容器安装了 Plausible Analytics,并注意到当我访问地址 pa.domain1.com/domain2.com(基本上是我正在跟踪的 URL 或 domain2)时,它会给我一个 mod_sec 日志条目: ModSecurity: Warning. Matched "Operator `Within...