主页 / server / 问题 / 708664
Accepted
dangel
Asked: 2015-07-27 18:25:02 +0800 CST

Jetmon 被 ModSecurity 阻止,如何编写覆盖规则?

  • 772

我在 VPC 上有一个 WordPress 站点,我正在尝试调整 ModSecurity 以减少误报。我有 Jetpack 监控,当 ModSecurity 处于活动状态时被拒绝。
来自 Apache error.log 的日志

[Sun Jul 26 20:25:31.569393 2015] [:error] [pid 5544] [client 192.0.84.33] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "www.randomhikes.com"] [uri "/"] [unique_id "VbWIi38AAAEAABWoVtoAAAAE"]

来自 modsec_audit.log

    --a5af5c33-A--
[26/Jul/2015:20:26:27 --0500] VbWIw38AAAEAABWngAIAAAAD 122.248.245.244 4366 172.31.41.204 80
--a5af5c33-B--
HEAD / HTTP/1.1
Host: www.randomhikes.com
User-Agent: jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)
Connection: Close

--a5af5c33-F--
HTTP/1.1 403 Forbidden
Connection: close
Content-Type: text/html; charset=iso-8859-1

--a5af5c33-E--

--a5af5c33-H--
Message: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "47"] [id "960015"] [rev "1"] [msg "Request Missing an Accept Header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]
Action: Intercepted (phase 2)
Stopwatch: 1437960387776697 11287 (- - -)
Stopwatch2: 1437960387776697 11287; combined=11003, p1=10427, p2=458, p3=0, p4=0, p5=95, sr=31, sw=23, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.
Server: Apache
Engine-Mode: "ENABLED"

--a5af5c33-Z--

从我过去几个小时所做的研究来看,ModSecurity 似乎拒绝了 JetMon,因为它没有发送 Accept Header,因此被标记为潜在的恶意攻击。

我希望我可以为虚拟主机 .conf 文件编写一个替代文件,该文件将允许jetmon用户代理尝试在没有 Accept Header 的情况下进行访问'/',或者允许 Jetmon IP 在没有有效 Accept Header 的情况下通过。但是我没有太多运气找到任何可以让我这样做的东西。

我在其他地方找到了这条规则,但看起来它会接受所有请求

SecRule REQUEST_URI "/" chain
SecRule &REQUEST_HEADERS:Accept-Language "@eq 0"
apache-2.4

1 个回答

  1. Best Answer

    如果 JetMon 服务器本身在您的控制之下,您可以将其列入白名单。在您的 mod_security.conf 文件中,添加以下行

    SecRule REMOTE_ADDR "^xxx\.xxx\.xxx\.xxx$" phase:1,nolog,allow,ctl:ruleEngine=Off

    将 xxx 替换为您的 IP 地址八位字节。另一种选择当然是关闭导致问题的规则,但这根本不是推荐的做法。

    更新:也许更好的是,您可以只为 JetMon 主机禁用一条规则。请注意,我从您的 modsec_audit.log 条目中获取了规则 ID。

    SecRule REMOTE_ADDR "^xxx\.xxx\.xxx\.xxx$" phase:1,nolog,allow,ctl:ruleRemoveById=960015

    希望这可以帮助。

    • 2

相关问题