Сканирование вредоносного ПО в реальном времени с использованием Maldetect: отклонено сценарием утверждающего

Question

Сканирование вредоносного ПО в реальном времени с использованием Maldetect: отклонено сценарием утверждающего

У меня есть сервер cPanel с Apache 2.4 и Maldetect, ClamAV. Я хочу иметь сканер вредоносных программ в реальном времени на сервере, чтобы запретить хакерам загружать вредоносные файлы на сервер. Я имел в виду, что когда кто-то загружает файл, apache запускает сканер, используя mod-security 2.9, и сканирует загруженный файл.

Если он найден как вредоносная программа - должен быть отклонен. Если найден хороший файл - следует загрузить в правильное место назначения.

Я попытался сделать это с помощью следующих настроек, как описано в https://www.rfxn.com/appdocs/README.maldetect

To enable upload scanning with mod_security2 you must set enable the public_scan option
in conf.maldet (public_scan=1) then add the following rules to your mod_security2 
configuration. These rules are best placed in your modsec2.user.conf file on cpanel servers
or at the top of the appropraite rules file for your setup.

/usr/local/apache/conf/modsec2.user.conf (or similar mod_security2 rules file):
SecRequestBodyAccess On
SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/hookscan.sh" \
                "id:'999999',log,auditlog,deny,severity:2,phase:2,t:none"

If using ModSecurity >=2.9, you should set 'SecTmpSaveUploadedFiles On' before the
'SecRule FILES_TMPNAMES' line.

A restart of the Apache service is required following these changes.

Но проблема в том, что все файлы отклоняются, даже хорошие файлы. Что-то не так с вышеуказанной настройкой?

# cat /usr/local/apache/conf/modsec2.user.conf
### UPLOAD PARAMETERS BEGIN ####
SecUploadDir /tmp
SecTmpDir /tmp/
SecDataDir /tmp/
SecUploadKeepFiles RelevantOnly
### UPLOAD PARAMETERS END  ####

SecRequestBodyAccess On
SecTmpSaveUploadedFiles On
SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/hookscan.sh" \
                "id:'999999',log,auditlog,deny,severity:2,phase:2,t:none"

Ниже приведена ошибка в логах

[Sun Mar 05 21:11:35.936553 2017] [:error] [pid 9800] [client x.x.x.x] ModSecurity: Access denied with code 406 (phase 2). File "/tmp/20170305-211135-WLxNz@kP@rKcABIc7ZF3lAAAAAM-file-SfujtQ" rejected by the approver script "/usr/local/maldetect/hookscan.sh": Linux Malware Detect v1.5 [file "/usr/local/apache/conf/modsec2.user.conf"] [line "13"] [id "999999"] [severity "CRITICAL"] [hostname "x.x.x.x"] [uri "/test.php"] [unique_id "WLxNz@kP@rKcABIc7ZF3lAAAAAM"]
[Sun Mar 05 21:11:44.511418 2017] [:error] [pid 9526] [client x.x.x.x] ModSecurity: Access denied with code 406 (phase 2). File "/tmp/20170305-211144-WLxN2EJsvK1FL3paCDmxrgAAAAE-file-iQx2zR" rejected by the approver script "/usr/local/maldetect/hookscan.sh": Linux Malware Detect v1.5 [file "/usr/local/apache/conf/modsec2.user.conf"] [line "13"] [id "999999"] [severity "CRITICAL"] [hostname "x.x.x.x"] [uri "/test.php"] [unique_id "WLxN2EJsvK1FL3paCDmxrgAAAAE"]

1

apache cpanel mod-security2 clam

Источник

user7662812 05 мар '17 в 18:50

0 ответов

Другие вопросы по тегам apache cpanel mod-security2 clam

user2504130 11 янв '19 в 12:22 2019-01-11 12:22 · Answer 1 · 2019-01-11 12:22

У меня тоже была эта проблема. Проблема в этой строке:

SecTmpSaveUploadedFiles On

Попробуйте убрать это из правила.

0

Источник

user2504130 11 янв '19 в 12:22