На моем сервере установлена последняя версия Modsecurity (по состоянию на 25 марта 2019 г.). Я использую наборы правил OWASP вместе с fail2ban в Linux.
Я знаю, что он разработан, чтобы блокировать попытки взлома. Должен ли я предполагать, что люди, которые не пытаются взломать мой сервер, а просто могут иметь зараженные компьютеры, обнаруживаются так же, как хакеры, хакерские боты и т. Д.?
Случается, что некоторые люди пытаются подключиться к моему компьютеру и говорят мне, что не могут. Итак, я смотрю в журналы и, конечно же, Modsecurity обнаружил либо атаку SQL-инъекции с их IP-адреса, либо другую атаку серьезного уровня.
Поэтому некоторым из них я предложил запустить обновленное сканирование во время загрузки своего компьютера, и, конечно же, они обнаружили множество вредоносных программ и вирусов и смогли подключиться после их очистки без каких-либо дополнительных проблем.
Итак, теперь я пытаюсь подтвердить, что, когда участники моего форума пытаются подключиться к моему серверу, и modsecurity сообщает о большом количестве гнусных действий со своего подтвержденного IP-адреса, это происходит потому, что на их компьютере есть вирусы или вредоносное ПО, которое загружается. на их подключение к моему серверу.
Я должен быть уверен, что говорю им правильную вещь, если предлагаю им проверить свой компьютер на наличие вредоносных программ или вирусов.
Я не вижу другого объяснения. Может ли кто-нибудь подтвердить, что, вероятно, именно это и происходит, поскольку некоторые из этих участников совершенно уверены (даже не проверяя), что их компьютеры не заражены какими-либо вредоносными программами или вирусами.
И если это так, то мне нужно выяснить, почему modsecurity говорит об обратном, потому что он блокирует моих участников форума.
Веб-приложения могут быть созданы для множества разных задач, в то время как OWASP CSR обнаруживает широкий спектр потенциально вредоносных запросов и ответов. Что-то, что можно было бы считать вредоносным в целом, может быть в пределах нормальной работы веб-приложения или определенных его функций. Например. правила внедрения HTML несовместимы с системами управления контентом, которые должны позволять администраторам сайта добавлять HTML-контент.
После включения ModSecurity с OWASP CSR вы должны сначала определить правила, которые всегда срабатывают во время нормальной работы, и занести их в белый список. Так как те же правила могут быть полезны где-то еще, попробуйте ограничить белый список только определенными страницами. Из журналов ошибок вы можете связать [id "XXX"] с участием [uri "/YYY/ZZZ.php"] и отключите список правил, вызывающих ложные срабатывания (пример для Apache):
<LocationMatch /YYY/ZZZ.php>
<IfModule mod_security2.c>
SecRuleRemoveById XXX
</IfModule>
</LocationMatch>
Хотя тюрьма Fail2Ban является хорошим дополнением для остановки злонамеренных действий, ее следует включать только после завершения внесения в белый список и почти нулевого количества ложных срабатываний. В противном случае он заблокирует ваших пользователей только потому, что они использовали ваше веб-приложение по назначению.
Ничего не предполагайте - проверяйте. Вы должны быть очень осторожны при интерпретации логов из modsecurity, у него много ложных срабатываний.