mod_security2 erkennt aber reagiert nicht

[geldhai]

Hallo zusammen,

ich nutze derzeit einen Apache2 2.2.3 mit mod_security 2.0.4

Das System lief jetzt eine Weile mit "SecRuleEngine DetectionOnly" um zu sehen ob alles funktioniert - allerdings nach der Umstellung auf "SecRuleEngine On" scheinbar immernoch nur Erkennung.

Auszug:

Code: Select all

SecRuleEngine On

SecRequestBodyAccess On
SecResponseBodyAccess Off

SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/audit_log

SecDefaultAction "log,deny,phase:2,status:500,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase"

SecRule REQUEST_URI  "/nessus_is_probing_you_"

Wieso bekomm ich im Web einen 404er und keiner 500er (siehe Default-Action):

Code: Select all

--4b16e03d-F--
HTTP/1.1 404 Not Found
Last-Modified: Wed, 22 Nov 2006 14:08:36 GMT
ETag: "2a05f9-7d5-422d67c9f4100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 810
Keep-Alive: timeout=1, max=50
Connection: Keep-Alive
Content-Type: text/html; charset=ISO-8859-1


--4b16e03d-H--
Message: Access denied with code 500 (phase 2). Pattern match "/nessus_is_probing_you_" at REQUEST_URI.
Apache-Error: [file "core.c"] [line 3612] [level 3] File does not exist: /home/wwwroot/test/nessus_is_probing_you_
Action: Intercepted (phase 2)
Stopwatch: 1183353755178167 2168 (374 1418 -)
Producer: ModSecurity v2.0.4 (Apache 2.x)
Server: Apache

Mod_security scheint es ja zu erkennen - nur warum wird jetzt der 404er ausgliefert und nicht der 500er?

Viele Dank und viele Grüße,
Thomas

[kumpel2]

Apache-Error: [file "core.c"] [line 3612] [level 3] File does not exist: /home/wwwroot/test/nessus_is_probing_you_

das gelesen? eineindeutig oder?

[geldhai]

Ist mod_security nicht dem eigentlich Request vorgeschaltet? Ob die Datei da ist (200er) oder nicht (404er) sollte doch nicht relevant sein wenn eine Regel zutrifft oder?

Wenn ich also per

Code: Select all

SecRule REQUEST_URI  "/nessus_is_probing_you_"

den Zuriff darauf mit deny und 500er verbiete - warum greift der apache dann trotzdem darauf zu und setzt sich mit einem 404er meiner Regel in den Weg?

[sledge0303]

Schau mal in die Logfiles des Apachen. Dort wirst du den Grund finden wieso dem 'anderen' ein 500er ausgegeben wurde und dir 'nur' ein 404er...
Obwohl dir die Frage eigentlich selbst beantworten könntest ;)

[geldhai]

Ist mir weiterhin unklar. Es gibt keinen "Anderen" - ich bekomm immer einen 404er obwohl ich einen 500er erwarte. Soweit ich das mit der DefaultRule verstehe - sollte die den Zugriff verhindern (deny) und HTTP-Status 500 liefern....



Accesslog:

Code: Select all

XXXXXX.XXXXX.XX 62.214.193.61 - - [02/Jul/2007:07:22:27 +0200] "GET /nessus_is_probing_you_ HTTP/1.1" 404 1870 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4" 0 (47)

Errorlog:

Code: Select all

[Mon Jul 02 07:22:27 2007] [error] [client 62.214.193.61] ModSecurity: Access denied with code 500 (phase 2). Pattern match "/nessus_is_probing_you_" at REQUEST_URI. [hostname "XXXXXX.XXXXX.XX"] [uri "/nessus_is_probing_you_"] [unique_id "A8heZH8AAAEAABWcWfIAAAAg"]

--> wieso bitte 404... ich versteh das nicht

[Joe User]

Lege die Datei mal mit touch an, wird dann 500 zurückgegeben?

[oxygen]

So wie ich das sehe, könnte der Parameter phase des Rätsels Lösung sein ;)

[alarenal]

So wie ich das sehe, könnte der Parameter phase des Rätsels Lösung sein ;)

Ich würde da auch eher ne 1 als notwendig erachten...

[geldhai]

Schuldiger wurde gefunden:
wenn man mod_limitipconn installiert hat, bekommt auch das aktuellste mod_security 2.1.1 keine Reaktion mehr hin. Fehler ist reproduzierbar und lt. einigen Einträgen bei Google den mod_security Entwicklern auch schon bekannt.