Я использую последнюю версию Modsecurity на Ubuntu 18.04, и у меня возникла странная проблема, которую я не могу найти с помощью поиска.
Проблема в том, что некоторые посетители моего сервера помещают в журнал все содержимое веб-страниц. Сообщения обычно имеют формат GET, а длина содержимого часто составляет 14818 или больше.
Очевидно, это делает журналы MUCh больше, но, что более важно, снижает безопасность, затрудняя ее при анализе такого большого количества контента.
Журнал слишком велик для публикации здесь, поэтому я разместил только верхние строки заголовка. Контент начинается в разделе «--03dd7202-E--» ниже и продолжается еще 350 строк или около того. Это полное содержимое файла index.html в корне каталога домена. Связь имеет российское происхождение, значит ли это что-нибудь?
Я не понимаю, насколько это приемлемое поведение? Я не вижу этого содержимого в логах apache2, только в Modsec_audit.log
Надеюсь, у кого-то есть стадо этой проблемы и он может подсказать направление взгляда без самого журнала. Это более 400 строк. Слишком много для публикации.
Примечание. Речь идет не о загрузке каких-либо файлов. Речь идет о том, что я получаю содержимое веб-страниц (на моем сервере) в журнале modesecurity.
Спасибо
--03dd7202-A--
[03/Mar/2019:18:20:30 --0500] XHnhBvbr4wow5A1f3YZxVmAAAAU 46.118.156.122 34262 192.168.4.12 80
--03dd7202-B--
GET / HTTP/1.1
Referer: https://mamylik.ru/
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727)
Host: MySampleDomain.com
--03dd7202-F--
HTTP/1.1 200 OK
Set-Cookie: phpbb3_t6uai_u=1; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_k=; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_sid=b5b4cde34n4520cac0f57bb30657e4b9; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Cache-Control: private, no-cache="set-cookie"
Expires: Sun, 03 Mar 2019 23:20:30 GMT
Vary: Accept-Encoding
Content-Length: 14818
Content-Type: text/html; charset=UTF-8
--03dd7202-E--
<!DOCTYPE html>
<html dir="ltr" lang="en-gb">
<head>
<meta charset="utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1" />
<title>MySampleDomain.com - Index page</title>
<link rel="alternate" type="application/atom+xml" title="Feed - MySampleDomain.com" href="/app.php/feed?sid=b5b4cde34n4520cac0f57bb30657e4b9"> <link rel="alternate" type="application/atom+xml" title="Feed - New Topics" href="/app.php/feed/topics?sid=b5b4cde34n4520cac0f57bb30657e4b9">
<link href="./assets/css/font-awesome.min.css?assets_version=2" rel="stylesheet">
<link href="./styles/elegance_3.2.5/theme/stylesheet.css?assets_version=2" rel="stylesheet">
https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html
Малоизвестный факт, что я изначально начал работать над ModSecurity, потому что был разочарован тем, что не смог зарегистрировать полные данные транзакций HTTP. Журнал аудита, который делает именно это, был одной из первых реализованных функций.
Удалить E ("Тело ответа") параметр из SecAuditLogParts. См. Все возможные параметры в разделе «Таблица 4.4. Части журнала аудита» и просто зарегистрируйте те, которые вам нужны.