บรรจวบ เข้าสู่ระบบ
Score:0
Nishu Ali avatar Server

ModSecurity 403, COMODO WAF ตรวจจับ XSS ขณะพยายามเข้าถึง phpMyAdmin

ธง ke
Nishu Ali

ฉันมีสำเนาของ phpMyAdmin ในหนึ่งในเซิร์ฟเวอร์ของฉันในโดเมนย่อย 'pma' และภายในไดเร็กทอรีในชื่อ 'app' (ติดตั้งด้วยตนเองจากไฟล์ zip ไม่ใช่ผ่าน yum) ซึ่งฉันใช้สำหรับการจัดการที่เกี่ยวข้องกับ DB และมันใช้งานได้ ตกลงสำหรับสองสามเดือน สองสามวันก่อน IP ในเครื่องของฉันถูกบล็อกขณะพยายามลงชื่อเข้าใช้ที่นั่น และหลังจากขุดค้นมากตามบันทึกที่พบใน /var/log/apache2/error_log (แทนที่ IP ในเครื่องและโดเมนเซิร์ฟเวอร์ของฉันด้วย <PLACEHOLDER_TEXT> ด้วยเหตุผลที่ชัดเจน)

[Fri Jan 07 11:37:54.198143 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: การเข้าถึงถูกปฏิเสธด้วยรหัส 403 (เฟส 2) รูปแบบตรงกับ "[\x22'\/`]บน[a-z]{1,}?\/{0,}=" ที่ REQUEST_COOKIES:pmaAuth-1 [ไฟล์ "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [บรรทัด "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: ตัวกรอง IE XSS - ตรวจพบการโจมตี|| www.pma.<DOMAIN_NAME>|F|2"] [ระดับความรุนแรง "สำคัญ"] [แท็ก "CWAF"] [แท็ก "XSS"] [ชื่อโฮสต์ "www.pma.<DOMAIN_NAME>"] [uri "/app/themes /pmahomme/img/ajax_clock_small.gif"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], ผู้อ้างอิง: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server =1
[Fri Jan 07 11:37:54.198701 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: การเข้าถึงถูกปฏิเสธด้วยรหัส 403 (เฟส 2) รูปแบบตรงกับ "[\x22'\/`]บน[a-z]{1,}?\/{0,}=" ที่ REQUEST_COOKIES:pmaAuth-1 [ไฟล์ "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [บรรทัด "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: ตัวกรอง IE XSS - ตรวจพบการโจมตี|| www.pma.<DOMAIN_NAME>|F|2"] [ระดับความรุนแรง "สำคัญ"] [แท็ก "CWAF"] [แท็ก "XSS"] [ชื่อโฮสต์ "www.pma.<DOMAIN_NAME>"] [uri "/app/index .php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Fri Jan 07 11:37:54.215776 2022] [core:error] [pid 60361] [client <IP_ADDRESS>:60532] AH00124: คำขอเกินขีดจำกัดของการเปลี่ยนเส้นทางภายใน 10 รายการเนื่องจากข้อผิดพลาดในการกำหนดค่าที่เป็นไปได้ ใช้ 'LimitInternalRecursion' เพื่อเพิ่มขีดจำกัดหากจำเป็น ใช้ 'การแก้ปัญหา LogLevel' เพื่อรับ backtrace อ้างอิง: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Fri Jan 07 11:37:54.235059 2022] [core:error] [pid 60364] [client <IP_ADDRESS>:60535] AH00124: คำขอเกินขีดจำกัดของการเปลี่ยนเส้นทางภายใน 10 รายการเนื่องจากข้อผิดพลาดในการกำหนดค่าที่เป็นไปได้ ใช้ 'LimitInternalRecursion' เพื่อเพิ่มขีดจำกัดหากจำเป็น ใช้ 'การแก้ปัญหา LogLevel' เพื่อรับการย้อนกลับ
[วันศุกร์ที่ 07 มกราคม 11:37:54.238782 2022] [:ข้อผิดพลาด] [pid 60364] [ไคลเอนต์ <IP_ADDRESS>:60535] [ไคลเอนต์ <IP_ADDRESS>] ModSecurity: บันทึกการตรวจสอบ: ไม่สามารถล็อก mutex ส่วนกลาง: สิทธิ์ถูกปฏิเสธ [ชื่อโฮสต์ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[วันศุกร์ที่ 07 มกราคม 11:37:54.238830 2022] [:ข้อผิดพลาด] [pid 60361] [ไคลเอนต์ <IP_ADDRESS>:60532] [ไคลเอนต์ <IP_ADDRESS>] ModSecurity: บันทึกการตรวจสอบ: ไม่สามารถล็อก mutex ส่วนกลาง: สิทธิ์ถูกปฏิเสธ [ชื่อโฮสต์ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], ผู้อ้างอิง: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[วันศุกร์ที่ 07 มกราคม 11:37:54.244507 2022] [:ข้อผิดพลาด] [pid 60364] [ไคลเอนต์ <IP_ADDRESS>:60535] [ไคลเอนต์ <IP_ADDRESS>] ModSecurity: บันทึกการตรวจสอบ: ไม่สามารถปลดล็อก mutex ส่วนกลาง: สิทธิ์ถูกปฏิเสธ [ชื่อโฮสต์ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[วันศุกร์ที่ 07 มกราคม 11:37:54.244559 2022] [:ข้อผิดพลาด] [pid 60361] [ไคลเอนต์ <IP_ADDRESS>:60532] [ไคลเอนต์ <IP_ADDRESS>] ModSecurity: บันทึกการตรวจสอบ: ไม่สามารถปลดล็อก mutex ส่วนกลาง: สิทธิ์ถูกปฏิเสธ [ชื่อโฮสต์ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], ผู้อ้างอิง: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1

แม้ว่าฉันโอเคกับ SSH และ CLI แต่ฉันไม่ใช่ผู้ดูแลเซิร์ฟเวอร์หลัก และต้องใช้เวลาและความช่วยเหลือจากทั้ง ISP และผู้ให้บริการโฮสติ้งเพื่อหาปัญหาการแบน IP ใน CSF/LFD แต่ฉันกำลังพยายาม เพื่อทำความเข้าใจกับปัญหาที่แท้จริงเพื่อหลีกเลี่ยงปัญหาในอนาคต ทุกคนสามารถถอดรหัสเหตุผลได้หรือไม่? ขอบใจ!

90
0 + 0
Score:0
Nishu Ali avatar Server
ธง ke
Nishu Ali

ฉันคิดว่าฉันพบวิธีแก้ปัญหาแล้ว ไฟล์ 'บันทึก' ที่ฉันกำลังมองหาซึ่งรายละเอียดอยู่ในไฟล์ต่อไปนี้:

/var/log/apache2/modsec_audit
0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา