Я установил mod_security
на 2 CentOS 7
-серверов. Бот получил такую конфигурацию:
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
SecAuditLogParts ABIFHZ
SecAuditLogType Concurrent
SecAuditLog /var/log/modsec_audit.log
SecAuditLogStorageDir /var/log/modsecurity/audit
SecAuditLogDirMode "default"
SecAuditLogFileMode "default"
Но на сервере a
журналы выглядят так:
example.com 134.249.53.xx - - [10/Aug/2016:22:07:26 +0200] "POST /wp-login.php HTTP/1.0" 200 1598 "-" "-" V6uJflxhoyWp4zhOzImhlAAAAQ4 "-" /20160810/20160810-2207/20160810-220726-V6uJflxhoyWp4zhOzImhlAAAAQ4 0 1546 md5:ea867817aed5ba17597f6e71b96920b9
А на сервере b
журналы выглядят так:
[modsecurity] [client 37.115.191.xx] [domain example.org] [403] [/apache/20160810/20160810-1923/20160810-192353-V6tjKYO6c3SIxYXHutIdrwAAAFY] [file "/etc/httpd/conf/modsecurity.d/rules/comodo/09_Bruteforce_Bruteforce.conf"] [line "58"] [id "230011"] [rev "2"] [msg "COMODO WAF: Multiple Username Violation: Too Many Usernames Submitted for Authentication.||side-by-side-kuehlschrank.eu|F"] [data "Current Username: sergej"] Access denied with code 403 (phase 2). Operator GT matched 5 at IP:multiple_username_count.
Я не совсем get, почему сервер B пишет [modsecurity]
и всю другую информацию таким образом.
Есть идеи?
Первый выглядит как журнал доступа, а второй - как журнал ошибок. Вы уверены, что смотрите на одно и то же на обоих серверах?
Кроме того, на каждом из которых вы работаете с какой версией ModSecurity? Последняя версия 2.9.1 изменена на с использованием журнала Apache , как определено в ErrorLogFormat , поэтому, если у вас есть этот набор для одного сервера, но нет другого, то это также может объяснить это.