Я новичок в Modsecurity и мне нужна помощь, чтобы защитить свой сервер разработки.
У меня установлен Apache 2.4 с Mod Security 2.8.0
Я также установил OWASP ModSecurity Core Rule Set версии 3.2.0
Теперь я пытаюсь заблокировать все запросы, которые не соответствуют конкретному REQUEST_URI шаблон.
Например, у меня есть такое правило:
SecRule REQUEST_URI "!@rx (^(\/loc\/.*)$)" \
"id:1234, phase:1,log,deny,status:404, msg:'Block URI'"
Когда я получаю доступ к URL-адресу, отличному от mysite.com/loc/ из моего браузера правило работает и блокирует запрос. Проблема в том, что я вижу много запросов от злоумышленников в журнале Apache, которые проходят через это правило, поэтому я, должно быть, что-то упускаю.
Мой запрос через браузер (идентичный таковому у злоумышленника) блокируется (из журнала Apache):
MY IP - - [18/Oct/2019:09:44:26 +0300] "GET /FxCodeShell.jsp?xxx HTTP/1.1" 404 89 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
Передается запрос злоумышленника (из журнала Apache):
Attacker IP - - [18/Oct/2019:03:37:03 +0300] "GET /FxCodeShell.jsp?xxx HTTP/1.1" 302 310 "http://XX.XX.XX.XX:80/FxCodeShell.jsp?xxx" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
Есть предложения, почему правило не срабатывает? Что мне не хватает?
любая помощь будет оценена по достоинству!