1 votes

awsomedevsigner avatar

Modsecurity - pages entières du site Web étant affichées dans le journal

Demandé el 4 de Mars, 2019
Quand la question a-t-elle été
256 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je cours la dernière version de Modsecurity sur Ubuntu 18.04 et j'ai un problème étrange que je ne peux pas trouver en recherchant.

Le problème est que certains visiteurs de mon serveur postent l'intégralité du contenu des pages web dans le journal. Les publications sont généralement des GET et la longueur du contenu est souvent de 14818 caractères ou plus.

Évidemment, cela rend les journaux BEAUCOUP plus grands, mais plus important encore, cela entrave la sécurité en la ralentissant lors de l'analyse de tant de contenu.

Le journal est bien trop grand pour être posté ici, donc je n'ai posté que les lignes d'en-tête supérieures. Le contenu commence dans la section "--03dd7202-E--" ci-dessous et continue encore sur environ 350 lignes. Il s'agit de l'intégralité du contenu du fichier index.html dans le répertoire racine du domaine. La connexion semble être d'origine russe, est-ce que cela signifie quelque chose?

Je ne vois pas en quoi ce comportement est acceptable. Je ne vois pas ce contenu dans les journaux apache2, seulement dans Modsec_audit.log

En espérant que quelqu'un ait entendu parler de ce problème et puisse suggérer une direction à suivre sans avoir besoin de tout le journal lui-même. Il fait plus de 400 lignes. Trop long à poster ici.

Remarque : Il ne s'agit pas de téléchargement de fichiers en aucun cas. Il s'agit du fait que je reçois le contenu des pages web (sur mon serveur) dans le journal de modesecurity.

Merci

--03dd7202-A--
[03/Mar/2019:18:20:30 --0500] XHnBv4wow5A1f3YZxVmAAAAU 46.118.156.122 34262 192.168.4.12 80
--03dd7202-B--
GET / HTTP/1.1
Referer: https://mamylik.ru/
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727)
Host: MySampleDomain.com

--03dd7202-F--
HTTP/1.1 200 OK
Set-Cookie: phpbb3_t6uai_u=1; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_k=; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_sid=b5b4cde34n4520cac0f57bb30657e4b9; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Cache-Control: private, no-cache="set-cookie"
Expires: Sun, 03 Mar 2019 23:20:30 GMT
Vary: Accept-Encoding
Content-Length: 14818
Content-Type: text/html; charset=UTF-8

--03dd7202-E--

MySampleDomain.com - Index page
Demandé el 4 de Mars, 2019 par awsomedevsigner

Réponse

Trop de publicités?

2voto

Eltariel avatar
Eltariel Points 895

https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html

Il est peu connu que j'ai commencé à travailler sur ModSecurity à l'origine parce que j'étais frustré de ne pas pouvoir enregistrer l'intégralité des données de la transaction HTTP. Le journal d'audit, qui le fait précisément, a été l'une des premières fonctionnalités implémentées.

Supprimez le paramètre E ("Corps de réponse") de SecAuditLogParts . Consultez la section "Tableau 4.4. Pièces du journal d'audit" pour tous les paramètres possibles et enregistrez uniquement ceux que vous voulez.

Répondu el 4 de Mars, 2019 par Eltariel (895 Points )

0 votes

Avatar de Eltariel

Cela apparaît, accessoirement, via une recherche Google pour "mod_security réponses http dans le fichier journal", si vous vous interrogez sur les termes de recherche corrects à utiliser.

Commenté el 4 de Mars, 2019 par Eltariel

1 votes

Avatar de awsomedevsigner

Merci beaucoup. J'ai échoué à Google 101. J'ai fait de nombreuses recherches et j'ai même cherché sur le site de modsecurity mais je n'ai rien trouvé comme ce que vous avez posté. Maintenant, je dois comprendre en quoi voir la source des pages web dans le journal d'audit est utile? Cela semble être une énorme perte de ressources et peut ralentir le système de sécurité. Néanmoins, votre aide est appréciée. C'est exactement ce que je cherchais. J'ai voté pour votre réponse et la marquerai comme la réponse acceptée.

Commenté el 4 de Mars, 2019 par awsomedevsigner

0 votes

Avatar de Eltariel

@User6655 Parfois, la charge virale malveillante se trouve dans le corps de la requête, il serait donc utile de l'avoir pour voir ce qui était tenté.

Commenté el 4 de Mars, 2019 par Eltariel
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X