Регистрация Войти
Рейтинг:0
Nishu Ali avatar Server

ModSecurity 403, COMODO WAF обнаруживает XSS при попытке доступа к phpMyAdmin

флаг ke
Nishu Ali

У меня есть копия phpMyAdmin на одном из моих серверов в поддомене «pma» и внутри каталога в нем с именем «app» (устанавливается вручную из zip-архива, а не через yum), который я использую для управления, связанное с БД, и он работал нормально на пару месяцев. Пару дней назад мой локальный IP-адрес был заблокирован при попытке войти туда, и после долгих копаний следующий журнал был найден в /var/log/apache2/error_log (по понятным причинам мой локальный IP-адрес и домен сервера заменены на <PLACEHOLDER_TEXT>)

[Пятница, 07 января 11:37:54.198143 2022] [: ошибка] [pid 60361] [клиент <IP_АДРЕС>:60532] [клиент <IP_АДРЕС>] ModSecurity: доступ запрещен с кодом 403 (фаза 2). Соответствие шаблону "[\x22'\/`]на[a-z]{1,}?\/{0,}=" в REQUEST_COOKIES:pmaAuth-1. [файл "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [строка "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: фильтры IE XSS - обнаружена атака. || www.pma.<DOMAIN_NAME>|F|2"] [серьезность "CRITICAL"] [тег "CWAF"] [тег "XSS"] [имя хоста "www.pma.<DOMAIN_NAME>"] [uri "/app/themes /pmahomme/img/ajax_clock_small.gif"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], реферер: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server =1
[Пт, 07 января 11:37:54.198701 2022] [: ошибка] [pid 60364] [клиент <IP_АДРЕС>:60535] [клиент <IP_АДРЕС>] ModSecurity: доступ запрещен с кодом 403 (фаза 2). Соответствие шаблону "[\x22'\/`]на[a-z]{1,}?\/{0,}=" в REQUEST_COOKIES:pmaAuth-1. [файл "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [строка "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: фильтры IE XSS - обнаружена атака. || www.pma.<DOMAIN_NAME>|F|2"] [серьезность "CRITICAL"] [тег "CWAF"] [тег "XSS"] [имя хоста "www.pma.<DOMAIN_NAME>"] [uri "/app/index .php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Пятница, 07 января 11:37:54.215776 2022] [ядро:ошибка] [pid 60361] [клиент <IP_ADDRESS>:60532] AH00124: Запрос превысил ограничение в 10 внутренних перенаправлений из-за вероятной ошибки конфигурации. Используйте «LimitInternalRecursion», чтобы увеличить лимит, если это необходимо. Используйте отладку LogLevel, чтобы получить обратную трассировку., ссылка: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Пт, 07 января 11:37:54.235059 2022] [ядро:ошибка] [pid 60364] [клиент <IP_АДРЕС>:60535] AH00124: Запрос превысил ограничение в 10 внутренних перенаправлений из-за вероятной ошибки конфигурации. Используйте «LimitInternalRecursion», чтобы увеличить лимит, если это необходимо. Используйте отладку LogLevel, чтобы получить обратную трассировку.
[Пятница, 07 января 11:37:54.238782 2022] [: ошибка] [pid 60364] [клиент <IP_АДРЕС>: 60535] [клиент <IP_АДРЕС>] ModSecurity: Журнал аудита: Не удалось заблокировать глобальный мьютекс: Отказано в доступе [имя хоста "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Пятница, 07 января 11:37:54.238830 2022] [: ошибка] [pid 60361] [клиент <IP_АДРЕС>: 60532] [клиент <IP_АДРЕС>] ModSecurity: Журнал аудита: Не удалось заблокировать глобальный мьютекс: Отказано в доступе [имя хоста "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], реферер: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Пятница, 07 января 11:37:54.244507 2022] [: ошибка] [pid 60364] [клиент <IP_АДРЕС>: 60535] [клиент <IP_АДРЕС>] ModSecurity: Журнал аудита: Не удалось разблокировать глобальный мьютекс: Отказано в доступе [имя хоста "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Пятница, 07 января 11:37:54.244559 2022] [: ошибка] [pid 60361] [клиент <IP_АДРЕС>: 60532] [клиент <IP_АДРЕС>] ModSecurity: Журнал аудита: Не удалось разблокировать глобальный мьютекс: Отказано в доступе [имя хоста "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], реферер: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1

Хотя у меня все в порядке с SSH и CLI, я не являюсь администратором основного сервера, и мне потребовалось некоторое время и помощь со стороны интернет-провайдера и хостинг-провайдера, чтобы выяснить проблему запрета IP-адресов в CSF/LFD, но я пытаюсь чтобы понять реальную проблему, чтобы ее можно было избежать в будущем. Кто-нибудь может расшифровать причину? Благодарность!

90
0 + 0
Рейтинг:0
Nishu Ali avatar Server
флаг ke
Nishu Ali

Я думаю, что нашел решение проблемы. Файл журнала, который я искал, где подробности находятся в следующем файле:

/var/log/apache2/modsec_audit
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.