Apache2, Mod_Security2, PHP 5 - Internal Server Error

JensP

JensP

New Member
Hallo,

ich habe ein Problem mit einem PHP Script, welches mir einen 500er wirft. Es kommt keine Fehlermeldung bis zu den Apache Logs durch, allerdings fand ich folgendes im mod_security2 Logs:

Code: 
--400e0105-A--
[10/Nov/2009:21:21:59 +0100] SvnLZ1XWEPwAABRrDa1AAFBE XX.XXX.XXX.XXX 4078 XX.XXX.XX.XX 443
--400e0105-B--
GET /index.php?menuaction=felamimail.uidisplay.display&showHeader=false&mailbox=ggfhfdhghhjjjgfjgjgf&uid=1&id=1 HTTP/1.1
Host: www.domain.tpl
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.domain.tpl/felamimail/index.php
Cookie: last_loginid=username; blah blah....

--400e0105-F--
HTTP/1.0 500 Internal Server Error
X-Powered-By: PHP/5.2.9
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Content-Length: 0
Connection: close
Content-Type: text/html

--400e0105-H--
Apache-Handler: application/x-httpd-php
Stopwatch: 1257884519522289 467051 (- - -)
Producer: ModSecurity for Apache/2.5.6 (http://www.modsecurity.org/); core ruleset/1.6.1.
Server: Apache/2.2.10 (Linux/SUSE)

--400e0105-Z--

Ich bin leider ratlos, weil es auf einer anderen Linux Kiste mit aktuellerem PHP funktioniert. Allerdings ist der Produktivserver ein VServer welcher mir die PHP leider vorschreibt.

application/x-httpd-php ist als Type in den Apache Conf-Files eingetragen. Die verwendeten PEAR Pakete sind aktuell.

Weiß jemand wo ich evtl. das Logging höher stellen kann um dem Fehler auf die Schliche zu kommen? Oder woran das noch liegen könnte? Nach einem Update auf Suse 11 muss sich was geändert haben inder Standard Kofiguration von Starto vServer mit Plesk 9.2. Hat evtl das gleiche Problem oder eine Idee?

Gruß
 
So ein ähnlichen Fehler hatte ich auch. Es war einfach das Problem dass mod_security nicht mit gepackten
Accept-Encoding: gzip,deflate
Click to expand...
Inhalt zurecht kam. War bei meinem Sqldump Script auch ein Problem.
1. Möglichkeit, du kommentierst es aus bei den Regeln.
2. Script ohne Packen klar kommen lassen.
 
Hallo,

ich würde ja einfach die Regel entfernen wenn ich eine ID hätte.

Der Fehler liegt an meiner Config allerdings weiß ich nicht wo genau? Wie kann ich die Fehlermeldung im Apache Error Log sehen? Z.Zt. wird diese ja leider vom Audit Log abgefangen? oder? Obwohl ich SecRuleEngine für den Virtuellen Host deaktiviert habe? Wenn die das Audit log für den vhost deaktviere, dann komm gar nichts in den Logs an, obwohl ich das PHP error logging auf 1024 hochgedreht hab?

Gruß

Jens
 
Last edited by a moderator:
Ich sehe du nutzt noch die core 1.61 Version da wird die greifende Regel(xxx.conf) mit ausgegeben und die ID Nummer auch. Du hast wahrscheinlich die
modsecurity_crs_10_config.conf
Click to expand...
nicht korrekt eingestellt für die Log Files und die Pfade(Rechte für www-data vergeben!!!).
 
Hallo,

ja normalerweise wird die ID ausgegeben, Config sollte passen auch die Log Rechte sind für den Apache angepasst. Ich glaube dass leine Regel greift sondern eher der Apache falsch konfiguriert ist. Nur schaffe ich es nicht die Fehlermedung bis ins Apache Log kommen zu lassen, wo ich evtl mehr infos sehen würde.

Was ist denn die aktuellste Version der Regeln?

Gruß
 
You must log in or register to reply here.
Back
Top