mod_security2 erkennt aber reagiert nicht

Apache, Lighttpd, nginx, Cherokee
geldhai
Posts: 4
Joined: 2007-07-02 07:36

mod_security2 erkennt aber reagiert nicht

Post by geldhai » 2007-07-02 07:44

Hallo zusammen,

ich nutze derzeit einen Apache2 2.2.3 mit mod_security 2.0.4

Das System lief jetzt eine Weile mit "SecRuleEngine DetectionOnly" um zu sehen ob alles funktioniert - allerdings nach der Umstellung auf "SecRuleEngine On" scheinbar immernoch nur Erkennung.

Auszug:

Code: Select all

SecRuleEngine On

SecRequestBodyAccess On
SecResponseBodyAccess Off

SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/audit_log

SecDefaultAction "log,deny,phase:2,status:500,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase"

SecRule REQUEST_URI  "/nessus_is_probing_you_"
Wieso bekomm ich im Web einen 404er und keiner 500er (siehe Default-Action):

Code: Select all

--4b16e03d-F--
HTTP/1.1 404 Not Found
Last-Modified: Wed, 22 Nov 2006 14:08:36 GMT
ETag: "2a05f9-7d5-422d67c9f4100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 810
Keep-Alive: timeout=1, max=50
Connection: Keep-Alive
Content-Type: text/html; charset=ISO-8859-1


--4b16e03d-H--
Message: Access denied with code 500 (phase 2). Pattern match "/nessus_is_probing_you_" at REQUEST_URI.
Apache-Error: [file "core.c"] [line 3612] [level 3] File does not exist: /home/wwwroot/test/nessus_is_probing_you_
Action: Intercepted (phase 2)
Stopwatch: 1183353755178167 2168 (374 1418 -)
Producer: ModSecurity v2.0.4 (Apache 2.x)
Server: Apache
Mod_security scheint es ja zu erkennen - nur warum wird jetzt der 404er ausgliefert und nicht der 500er?

Viele Dank und viele Grüße,
Thomas

kumpel2
Posts: 46
Joined: 2006-08-09 16:13
Location: Essen Nord

Re: mod_security2 erkennt aber reagiert nicht

Post by kumpel2 » 2007-07-02 09:54

Geldhai wrote: Apache-Error: [file "core.c"] [line 3612] [level 3] File does not exist: /home/wwwroot/test/nessus_is_probing_you_
das gelesen? eineindeutig oder?

geldhai
Posts: 4
Joined: 2007-07-02 07:36

Re: mod_security2 erkennt aber reagiert nicht

Post by geldhai » 2007-07-02 21:00

Ist mod_security nicht dem eigentlich Request vorgeschaltet? Ob die Datei da ist (200er) oder nicht (404er) sollte doch nicht relevant sein wenn eine Regel zutrifft oder?

Wenn ich also per

Code: Select all

SecRule REQUEST_URI  "/nessus_is_probing_you_"
den Zuriff darauf mit deny und 500er verbiete - warum greift der apache dann trotzdem darauf zu und setzt sich mit einem 404er meiner Regel in den Weg?

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: mod_security2 erkennt aber reagiert nicht

Post by sledge0303 » 2007-07-03 07:55

Schau mal in die Logfiles des Apachen. Dort wirst du den Grund finden wieso dem 'anderen' ein 500er ausgegeben wurde und dir 'nur' ein 404er...
Obwohl dir die Frage eigentlich selbst beantworten könntest ;)

geldhai
Posts: 4
Joined: 2007-07-02 07:36

unklar

Post by geldhai » 2007-07-03 20:49

Ist mir weiterhin unklar. Es gibt keinen "Anderen" - ich bekomm immer einen 404er obwohl ich einen 500er erwarte. Soweit ich das mit der DefaultRule verstehe - sollte die den Zugriff verhindern (deny) und HTTP-Status 500 liefern....



Accesslog:

Code: Select all

XXXXXX.XXXXX.XX 62.214.193.61 - - [02/Jul/2007:07:22:27 +0200] "GET /nessus_is_probing_you_ HTTP/1.1" 404 1870 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4" 0 (47)
Errorlog:

Code: Select all

[Mon Jul 02 07:22:27 2007] [error] [client 62.214.193.61] ModSecurity: Access denied with code 500 (phase 2). Pattern match "/nessus_is_probing_you_" at REQUEST_URI. [hostname "XXXXXX.XXXXX.XX"] [uri "/nessus_is_probing_you_"] [unique_id "A8heZH8AAAEAABWcWfIAAAAg"]
--> wieso bitte 404... ich versteh das nicht

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: mod_security2 erkennt aber reagiert nicht

Post by Joe User » 2007-07-03 22:08

Lege die Datei mal mit touch an, wird dann 500 zurückgegeben?

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: mod_security2 erkennt aber reagiert nicht

Post by oxygen » 2007-07-03 22:14

So wie ich das sehe, könnte der Parameter phase des Rätsels Lösung sein ;)

alarenal
Posts: 28
Joined: 2003-12-05 07:54
Location: Iserlohn

Re: mod_security2 erkennt aber reagiert nicht

Post by alarenal » 2007-07-07 19:19

oxygen wrote:So wie ich das sehe, könnte der Parameter phase des Rätsels Lösung sein ;)
Ich würde da auch eher ne 1 als notwendig erachten...

geldhai
Posts: 4
Joined: 2007-07-02 07:36

Problem gefunden

Post by geldhai » 2007-07-28 10:41

Schuldiger wurde gefunden:
wenn man mod_limitipconn installiert hat, bekommt auch das aktuellste mod_security 2.1.1 keine Reaktion mehr hin. Fehler ist reproduzierbar und lt. einigen Einträgen bei Google den mod_security Entwicklern auch schon bekannt.