Modsecurity "исходящий-аномалия-оценка"

Question

Modsecurity "исходящий-аномалия-оценка"

Я получаю сообщение об ошибке 403 при открытии страницы (просто отображает таблицу) в файле журнала modsecurity. Я получил эту информацию...

  --3445d837-A--
[29/Jun/2015:15:44:26 +0530] VZEagn8AAQEAACkX5YcAAAAE 49.204.187.140 56574 46.101.60.149 80
--3445d837-B--
GET /admin/recent.php HTTP/1.1
Host: domain.com
Connection: keep-alive
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
Referer: http://domain.com/admin/editclient.php?id=79
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
Cookie: PHPSESSID=q5nl1ne2sqce9g8hpedl2mo2s5

--3445d837-F--
HTTP/1.1 403 Forbidden
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

--3445d837-E--
^_�^H^@^@^@^@^@^@^C�Zms�*^V�^\� ( GOT SOME RANDOM CHUNK LIKE THIS)
--3445d837-H--


Message: Access denied with code 403 (phase 4). Match of "rx (?:\\b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|r(?:ar!|iff)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)\\b|gif)|B(?:%p$
Message: Warning. Operator GE matched 4 at TX:outbound_anomaly_score. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf"] [line "40$
Action: Intercepted (phase 4)
Apache-Handler: application/x-httpd-php
Stopwatch: 1435572866889709 4340 (- - -)
Stopwatch2: 1435572866889709 4340; combined=1365, p1=212, p2=789, p3=1, p4=296, p5=67, sr=51, sw=0, l=0, gc=0

я совершил ошибку?

0

php apache mod-security

Источник

user4752524 29 июн '15 в 11:30

1 ответ

Другие вопросы по тегам php apache mod-security

user2144578 29 июн '15 в 18:30 2015-06-29 18:30 · Answer 1 · 2015-06-29 18:30

Помогло бы, если вы выложили полное правило или ошибку - похоже обрезано.

При поиске в последнем основном наборе правил это правило соответствует идентификатору правила 970903, который проверяет наличие "утечки исходного кода ASP/JSP".

Утечка информации - это когда вы отказываетесь от некоторой информации о вашей системе - например, в подробных сообщениях об ошибках, таких как следы стека, которые показывают детали вашей среды или код, который может быть полезен для злоумышленников.

Если вы не используете ASP или JSP (как вы, кажется, используете PHP), то вы можете отключить это правило, добавив его в конфигурацию ModSecurity после определения этого правила:

SecRuleRemoveById 970903

Однако мне любопытно, почему этот "Случайный Чанк" существует. Это потому, что этот ответ исходит от внутреннего сервера, который его сжал, а ваш Apache - всего лишь прокси? Если это так, ModSecurity пытается прочитать gzipped ответ, который, очевидно, не будет работать, и может привести к ложным срабатываниям, подобным этому, когда случайные фрагменты сжатых данных выглядят как код текста, так что вы можете просто отключить проверку ответов тела с помощью этой конфигурации:

SecResponseBodyAccess Off

Обратите внимание, что это эффективно отключит все правила "утечки информации" и любые другие правила, которые проверяют тело ответа.