mod_security spinnt rum

[danu]

Deine ganze "exclude" Datei zu posten

IMHO glaube nicht dass das viel Sinn macht. Das kann doch von Server zu Server unterschiedlich sein, und je nach CMS oder sonstigen Scripten.

Die Hauptsache hier ist die:

Im modsec_audit.log siehst du, welches Script hängen geblieben ist. Dann schreibst du den Pfad genau so bei <Location ... rein. Bei "ARGS|!ARG_body" ODER bei "ARG_authorised" schreibst du das auch genau so rein, wie es im Logfile steht.

...und hier noch die Einstellung für mein Logfile:

Code: Select all

# Only record the interesting stuff
	SecAuditEngine RelevantOnly
	SecAuditLog /var/log/apache2/modsec_audit.log

[cirox]

ja stimmt schon, so mach ich dass ja auch, habe hier schon neben mir nur ein Monitor aufgebaut für audit.log in Echtzeit ;)

Trotzdem schonmal Danke für die Anregungen. Mir ist aufgefallen, dass der User-Agent .... irgendwie stört, die Regel hab ich komplett abgeschalten.

Was ich auch noch nicht kapiert habe ist pro vhost genau eine Regel auszuschalten ...

gruß cirox

[danu]

User-Agent .... irgendwie stört

Ja, dieses Rule läuft bei mir auch nicht

Was ich auch noch nicht kapiert habe ist pro vhost genau eine Regel auszuschalten ...

Habe ich noch gar nicht versucht. Könnte vielleicht funktionieren, wenn man den ganzen /home/...Pfad einträgt.

1. Gehört nicht die exclude vor den Rules?

Muss nicht sein -> "SecFilterInheritance Off" hebt das betreffende Rule für die betreffende "<Location ....." auf.

[cirox]

Die Hauptsache hier ist die:

Im modsec_audit.log siehst du, welches Script hängen geblieben ist. Dann schreibst du den Pfad genau so bei <Location ... rein. Bei "ARGS|!ARG_body" ODER bei "ARG_authorised" schreibst du das auch genau so rein, wie es im Logfile steht.

ok, oder:

ich marke die Regeln mit einer ID, zum Beispiel: "id "100"" und sage:

Code: Select all

#Newsblock counter Link Problem
<LocationMatch "/counter/counter.php*">
SecFilterRemove 100
</LocationMatch>

wobei matürlich bei Dir mit dem Argument:

Code: Select all

ARG_authorised "select.+from" 

zum Beipiel die Markerei nicht notwendig ist, weil er sich die Direktive, oder wie das heisst, selber sucht.

Stimmt das oder bin ich auf dem falschen Dampfer?

gruß cirox

[danu]

Das mit der Markerei habe ich in der Docku auch angeschaut, aber selber probiert habe ich das noch nicht. "Meine" Methode habe ich irgendwo (weiss nicht mehr wo) abgeguckt und beim testen gefunden WOW.

Ich habe da 2 Möglichkeiten. Eine davon muss immer auskommentiert sein.

Code: Select all

 
    SecFilterSelective ARG_authorised "<.+>"

Damit schaffe ich es meistens

Code: Select all

SecFilterSelective "ARGS|!ARG_body" "<.+>" "allow" 
    

Damit versuchte ich es meistens mit Erfolg, wenn "ARG_authorised" keine Wirkung zeigte. Dabei wird noch
ins Logfile geschrieben