Hallo ich habe da ein Problem mit Mod Security 2.5.12
aus irgendeinem grunde Arbeitet Mod Security nicht wirklich .. zumindest wird nichts in den logs geschrieben...
Ich komme auf den Verdacht da ich verschiedene Tests durchgeführt habe die Mod Security eigentlich Blocken oder zumindest loggen sollte
Also zunächst:
Ich habe Mod Security via wget gezogen -> entpackt und mit APXS2 configuriert und anschließend via Checkinstall Installiert...
anschließend sämtliche rules in den Apache2 Ordner geschoben...
ich habe danach folgende Zeilen in die Apache2.conf gepackt...
security2.conf und Security.load erstellt
Apache Restartet ->
Die Logs wurden anschließend AUTOMATISCH erstellt... Soweit sieht es aus als wenn Mod Security Arbeitet...
So jetzt habe ich 2 Test durchgeführt die eigentlich beide gelogt werden sollten....
w3m http://deinewebseite.com/index.php?path=/etc/passwd
und
curl -i http://localhost/ -A Nessus bzw. root
hier müsste eine 400er Seite auftauchen .. und in den logs zumindest verzeichnet werden..
Aber beide Tests sind negativ .. darum denke ich das ich irgendwo ein fehler drin habe ....
Ich hoffe Ihr könnt mir helfen....
aus irgendeinem grunde Arbeitet Mod Security nicht wirklich .. zumindest wird nichts in den logs geschrieben...
Ich komme auf den Verdacht da ich verschiedene Tests durchgeführt habe die Mod Security eigentlich Blocken oder zumindest loggen sollte
Also zunächst:
Ich habe Mod Security via wget gezogen -> entpackt und mit APXS2 configuriert und anschließend via Checkinstall Installiert...
anschließend sämtliche rules in den Apache2 Ordner geschoben...
ich habe danach folgende Zeilen in die Apache2.conf gepackt...
Code:
<IfModule mod_security2.c>
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off
#SecRuleEngine DetectionOnly
#File uploads konfiguration
SecUploadDir /var/log/apache2/modsecurity/tmp
#Logging
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
SecAuditLogType Concurrent
#SecAuditLogType new # Kommentiert diese Zeile und die "SecAuditLog" Zeile weiter unten aus. Damit wird alles in die LogDatei "audit.log" geschrieben
SecAuditLogStorageDir /var/log/apache2/modsecurity/modsec_audit
SecAuditLog /var/log/apache2/modsecurity/audit.log
SecAuditLogParts "ABIDEFGHZ"
#Tuning und Debugging
SecDebugLog /var/log/apache2/modsecurity/modsec_debug.log
SecDataDir /var/log/apache2/modsecurity
SecTmpDir /var/log/apache2/modsecurity/tmp
# Maximum request body size we will
# accept for buffering
SecRequestBodyLimit 131072
# Store up to 128 KB in memory
SecRequestBodyInMemoryLimit 131072
# Buffer response bodies of up to
# 512 KB in length
SecResponseBodyLimit 524288
</IfModule>security2.conf und Security.load erstellt
Code:
Security2.conf
<IfModule mod_security2.c>
Include /etc/apache2/ruleset/*.conf
</IfModule>
Code:
Security2.load
LoadFile /usr/lib/libxml2.so
LoadModule security2_module /usr/lib/apache2/modules/mod_security2.soApache Restartet ->
Die Logs wurden anschließend AUTOMATISCH erstellt... Soweit sieht es aus als wenn Mod Security Arbeitet...
So jetzt habe ich 2 Test durchgeführt die eigentlich beide gelogt werden sollten....
w3m http://deinewebseite.com/index.php?path=/etc/passwd
und
curl -i http://localhost/ -A Nessus bzw. root
hier müsste eine 400er Seite auftauchen .. und in den logs zumindest verzeichnet werden..
Aber beide Tests sind negativ .. darum denke ich das ich irgendwo ein fehler drin habe ....
Ich hoffe Ihr könnt mir helfen....