mod_security2 greift nur teilweise

Apache, Lighttpd, nginx, Cherokee
homebox
Posts: 9
Joined: 2008-05-21 14:37

mod_security2 greift nur teilweise

Post by homebox » 2009-04-05 13:03

Hallo,

zuerst meine relevanten Systemdaten: Debian 5, Apache 2.2.9, mod_security2 v2.5.9

Ich möchte mit mod security folgende Zugriffe abfangen:

Code: Select all

error.log:
[Sun Apr 05 06:01:50 2009] [error] [client 69.162.113.210] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
access.log:
meineIP:80  69.162.113.210 - - [05/Apr/2009:06:01:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" "" "-" 400 289 "-" "-" 46 480

Da es sowieso einen 400er gibt, sei der Sinn mal dahingestellt.

Es gibt sowohl Regeln, die auf ^GET /w00tw00t.*$ greifen, als auch auf den leeren Host im Requestheader (beide in phase 1, also request header). Bei manuellem Zugriff mitm Firefox auf http://(meinedomain|meineIP)/w00tw00tirgendwas greift auch die erste Regel. Nur eben nicht bei den obigen Zugriffen, was wohl damit zusammen hängt, dass sich keine Infos zum Host im Requestheader befinden.
Laut RFC2616 section 14.23 soll deswegen mit einem 400er geantwortet werden, was bei mir auch der Fall ist.

Ich hab auch versucht, mit mod_headers einen Hostheader (early) zu setzen, es kommt aber die selbe Fehlermeldung.

Gibt es sonst irgendeine Möglichkeit das zu beeinflussen?