Вопросы Теги

Jetmon, заблокированный ModSecurity, как записать правило переопределения?

У меня есть сайт WordPress на VPC, и я пытаюсь настроить ModSecurity для сокращения ложных положительных сторон. У меня есть контроль Реактивного ранца, который отклоняется, когда ModSecurity активен.
Журнал от Apache error.log

[Sun Jul 26 20:25:31.569393 2015] [:error] [pid 5544] [client 192.0.84.33] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "www.randomhikes.com"] [uri "/"] [unique_id "VbWIi38AAAEAABWoVtoAAAAE"]

Из modsec_audit.log

    --a5af5c33-A--
[26/Jul/2015:20:26:27 --0500] VbWIw38AAAEAABWngAIAAAAD 122.248.245.244 4366 172.31.41.204 80
--a5af5c33-B--
HEAD / HTTP/1.1
Host: www.randomhikes.com
User-Agent: jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)
Connection: Close

--a5af5c33-F--
HTTP/1.1 403 Forbidden
Connection: close
Content-Type: text/html; charset=iso-8859-1

--a5af5c33-E--

--a5af5c33-H--
Message: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]
Action: Intercepted (phase 2)
Stopwatch: 1437960387776697 11287 (- - -)
Stopwatch2: 1437960387776697 11287; combined=11003, p1=10427, p2=458, p3=0, p4=0, p5=95, sr=31, sw=23, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.
Server: Apache
Engine-Mode: "ENABLED"

--a5af5c33-Z--

От моего исследования, которое я проводил в течение прошлых нескольких часов, похоже, что ModSecurity отклоняет JetMon, потому что это не отправляет Принять Заголовок и поэтому отмечается как потенциальная вредоносная атака.

Я надеюсь, что могу записать переопределение для виртуального хоста .conf файл, который или позволит jetmon агент пользователя, чтобы попытаться получить доступ '/' без Принять Заголовка, или позволит IP Jetmon через без допустимого, Принимают Заголовок. Но у меня не было большой удачи при нахождении чего-либо, что позволило бы мне делать это.

Я нашел это правило в другом месте, но похоже, что это примет ВЕСЬ запрос

SecRule REQUEST_URI "/" chain
SecRule &REQUEST_HEADERS:Accept-Language "@eq 0"
0
задан 27 July 2015 в 05:25
1 ответ

Вы можете занести в белый список сам сервер JetMon, если он находится под вашим контролем. В вашем файле mod_security.conf добавьте следующую строку 

SecRule REMOTE_ADDR "^xxx\.xxx\.xxx\.xxx$" phase:1,nolog,allow,ctl:ruleEngine=Off

Замените xxx октетами вашего IP-адреса. Другой вариант - это, конечно, отключить правило, которое вызывает проблемы, но это вообще не рекомендуется.

Обновление: Возможно, даже лучше, вы можете отключить только одно правило для хоста JetMon. Обратите внимание, что я взял идентификатор правила из вашей записи modsec_audit.log. 

SecRule REMOTE_ADDR "^xxx\.xxx\.xxx\.xxx$" phase:1,nolog,allow,ctl:ruleRemoveById=960015

Надеюсь, это поможет.

2
ответ дан 4 December 2019 в 13:48

Теги

Похожие вопросы