Hallo alle miteinander,
ich habe mir mit Hilfe eines Tutorials mod_security auf meinem Vserver installiert. Die Installation hat ohne Probleme funktioniert. Als Grundlage hat mir diese Anleitung gedient. Nun wollte ich testen wie mein VServer auf folgenden Aufruf reagiert:
http://meineadresse.de/index.php?a=wget
Wenn ich diese Seite über meinen Browser aufrufe ist kurze Zeit später mein Server nicht mehr erreichbar und ich muss diesen rebooten um diesen wieder erreichbar zu machen.
Im entsprechenden Log erscheint folgende Meldung:
Das ist die Rule die wohl zieht:
Könnt ihr mir sagen warum mein Server nicht mehr erreichbar war nachdem ich die Seite aufgerufen habe ? Mir erschließt sich die ganze Sache nicht. Danke für eure Mühe im voraus....
Grüße
sxx128
ich habe mir mit Hilfe eines Tutorials mod_security auf meinem Vserver installiert. Die Installation hat ohne Probleme funktioniert. Als Grundlage hat mir diese Anleitung gedient. Nun wollte ich testen wie mein VServer auf folgenden Aufruf reagiert:
http://meineadresse.de/index.php?a=wget
Wenn ich diese Seite über meinen Browser aufrufe ist kurze Zeit später mein Server nicht mehr erreichbar und ich muss diesen rebooten um diesen wieder erreichbar zu machen.
Im entsprechenden Log erscheint folgende Meldung:
Code:
--b2e4d027-F--
HTTP/1.1 501 Method Not Implemented
Allow: TRACE
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 239
Connection: close
Content-Type: text/html; charset=iso-8859-1
--b2e4d027-H--
Message: Access denied with code 501 (phase 2). Pattern match "(?:(?:[\;\|\`]\W*?\bcc|\bwget)\b|\/cc(?:[\'"\|\;\`\-\s]|$))" at ARGS:a. [file "/etc/apache2/rulesets/modsecurity_crs_40_generic_attacks.conf"] [line "144"] [id "950907"] [msg "System Command Injection"] [data "wget"] [severity "CRITICAL"] [tag "WEB_ATTACK/COMMAND_INJECTION"]
Action: Intercepted (phase 2)
Stopwatch: 1285937680234156 80961 (41534 80080 -)
Producer: ModSecurity for Apache/2.5.9 (http://www.modsecurity.org/); core ruleset/1.6.1.
--b2e4d027-Z--
Das ist die Rule die wohl zieht:
Code:
144 "phase:2,capture,t:none,t:htmlEntityDecode,t:lowercase,ctl:auditLogParts=+E,deny,log,auditlog,status:501,msg:'System Command Injection',id:'950907',tag:'WEB _ATTACK/COMMAND_INJECTION',logdata:'%{TX.0}',severity:'2'"
Könnt ihr mir sagen warum mein Server nicht mehr erreichbar war nachdem ich die Seite aufgerufen habe ? Mir erschließt sich die ganze Sache nicht. Danke für eure Mühe im voraus....
Grüße
sxx128