Hallo,
bei jedem Besuch meiner eigenen Webseite erhalte ich zig ModSecurity Meldungen, die mir den error.log fluten. Das Tool ist einfach zu sensibel, jeder Besuch, auch wenn er nicht gefährlich ist, verursacht mehrere error-Einträge in die Logs.
Kann man das irgendwie verhindern?
Viele Grüße,
bumer
apache modsecurity zu empfindlich
-
pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: apache modsecurity zu empfindlich
Ja, und zwar wie folgt:
https://wiki.ubuntuusers.de/Apache/mod_security
http://www.linux-community.de/Internal/ ... d_security
https://www.digitalocean.com/community/ ... ian-ubuntu
https://www.linode.com/docs/websites/ap ... -on-apache
https://www.modsecurity.org/
https://wiki.ubuntuusers.de/Apache/mod_security
http://www.linux-community.de/Internal/ ... d_security
https://www.digitalocean.com/community/ ... ian-ubuntu
https://www.linode.com/docs/websites/ap ... -on-apache
https://www.modsecurity.org/
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: apache modsecurity zu empfindlich
mod_security macht doch erst mal nichts von sich aus. Entscheidend ist doch der verwendete Regelsatz. Scheinbar ist der für Deine Bedürfnisse zu scharf verfasst und muss angepasst werden.
Ich kenne Firmen, die das CRS von OWASP als Regelsatz verwenden, dazu aber zuvor monatelang im Complain-Mode produktiv liefen und die Regeln für ihren Bedarf feingeschliffen haben, bevor sie das scharf schalteten. Und auch danach muss man ständig am Ball bleiben, der Pflegeaufwand ist nicht zu vernachlässigen.
Ich kenne Firmen, die das CRS von OWASP als Regelsatz verwenden, dazu aber zuvor monatelang im Complain-Mode produktiv liefen und die Regeln für ihren Bedarf feingeschliffen haben, bevor sie das scharf schalteten. Und auch danach muss man ständig am Ball bleiben, der Pflegeaufwand ist nicht zu vernachlässigen.
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt
-
pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: apache modsecurity zu empfindlich
so sieht's aus ... logcheck als Beispiel ist ja auch nicht einfach installiert und gut is' (auch wenn das meiste drin ist). Das sollte man verstehen und immer seinen Bedürfnissen anpassen. Dasselbe gilt auch für Sachen wie apache's modsecurity, fail2ban, usw...
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: apache modsecurity zu empfindlich
Danke. So wie ich das verstehe bleibt einem nur, nachdem man die OWASP-Rules installiert hat, gewisse Rules, von denen man weiss, dass sie keinen Angriff darstellen, auszuschließen:
Oder man schreibt eigene Rules.
Code: Alles auswählen
<LocationMatch '^/phpMA/*'>
SecRuleRemoveById 950004
SecRuleRemoveById 950005
SecRuleRemoveById 950006
SecRuleRemoveById 960010
SecRuleRemoveById 960012
</LocationMatch>