mod_security, Regeln werden ignoriert.

[killerhorse]

Hallo,

Habe gerade mod_security auf den aktuellen Stand gebracht (Version 2.5.5).
Ich verwende weiters die Regeln von Gotroot.

Wenn ich nun an den Anfang der Regeln folgende Testregel einfüge:
SecRule REQUEST_HEADERS:User-Agent "mozilla"
Kann ich mit dem Firefox nichmehr auf die Websiten meines Servers zugreiffen.

Aber... Wenn ich die Regel weiter hinten einbaue, z.B. nach dem "include" der Gotroot Regeln, wird diese Testregel ignoriert.
Habe die genaue Grenze einfach mal ausgetestet. Und zwar ist sie im File 10_asl_rules.conf bei # Rule 340120


# Rule 340120: XML-RPC generic attack sigs
SecRule REQUEST_HEADERS "^Content-Type: application/xml"
"chain,id:340120,rev:1,severity:2,msg:'Generic XML-RPC attack'"
SecRule REQUEST_BODY "(?:<xml|<.*xml)" chain
SecRule REQUEST_BODY "(?:echo(?: |(|').*;|chr|fwrite|fopen|system|echr|passthru|popen|proc_open|shell_exec|exec|proc_nice|proc_terminate|proc_get_status|proc_close|pfsockopen$
SecRule REQUEST_BODY "methodCall>"


Ab dieser Regel wird meine Testregel ignoriert. WEnn ich diese auskommentiere, dann wandert die Grenze ein paar Regeln weiter nach unten.
Hab derzeit leider keinen Plan woran das liegen könnte.

Hat jemand eine Idee?

MfG

Christian

[killerhorse]

Oh, hab gerade gesehen, dass ich wohl nicht die aktuelle Version von mod_security installiert habe...
Vielleicht ist es ja ein Bug, der in der aktuellen Verion behoben ist...

[killerhorse]

Ja, das wars... Mit der aktuellen Version scheint alles korrektu zu funktionieren...
Auf der mod_security Seite gibts nämlich ein Link für debian und der führt auf eine Seite auf der man mod_security auch als tar.gz Archiv runterlden kann und das ohne sich zu registrieren. Aber das gibts eben nicht die aktuele verion.

Hab mich jetzt auf der Mod Security Seite registriert...
So und jetzt geh ich erstmal schlafen, hab eh nurnoch ein paar Stunden.

MfG

Christian