Mod-Security
Modsecurity - 將整個網頁發佈到日誌
我在 Ubuntu 18.04 上執行最新版本的 Modsecurity,但我遇到了一個無法通過搜尋找到的奇怪問題。
問題是我伺服器的某些訪問者將網頁的全部內容髮佈到日誌中。文章通常是 GET,內容長度通常為 14818 或更長。
顯然,這會使日誌變得更大,但更重要的是,在分析如此多的內容時會陷入困境,從而阻礙了安全性。
日誌太大了,無法在此處發布,因此我只發布了頂部標題行。內容從下面的“–03dd7202-E–”部分開始,持續到另外 350 行左右。它是域目錄根目錄中 index.html 文件的全部內容。這種聯繫似乎源自俄羅斯,所以這意味著什麼嗎?
我不明白這是一個可以接受的行為嗎?我在 apache2 日誌中看不到此內容,僅在 Modsec_audit.log 中看到
希望有人解決了這個問題,並且可以提出一個不看整個日誌本身的方向。它有 400 多行。在這裡發帖太多了。
注意:這不是關於上傳任何類型的文件。這是關於我在 modesecurity 日誌中獲取網頁內容(在我的伺服器上)的事實。
謝謝
--03dd7202-A-- [03/Mar/2019:18:20:30 --0500] XHnhBvbr4wow5A1f3YZxVmAAAAU 46.118.156.122 34262 192.168.4.12 80 --03dd7202-B-- GET / HTTP/1.1 Referer: https://mamylik.ru/ User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727) Host: MySampleDomain.com --03dd7202-F-- HTTP/1.1 200 OK Set-Cookie: phpbb3_t6uai_u=1; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly Set-Cookie: phpbb3_t6uai_k=; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly Set-Cookie: phpbb3_t6uai_sid=b5b4cde34n4520cac0f57bb30657e4b9; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly Cache-Control: private, no-cache="set-cookie" Expires: Sun, 03 Mar 2019 23:20:30 GMT Vary: Accept-Encoding Content-Length: 14818 Content-Type: text/html; charset=UTF-8 --03dd7202-E-- <!DOCTYPE html> <html dir="ltr" lang="en-gb"> <head> <meta charset="utf-8" /> <meta http-equiv="X-UA-Compatible" content="IE=edge" /> <meta name="viewport" content="width=device-width, initial-scale=1" /> <title>MySampleDomain.com - Index page</title> <link rel="alternate" type="application/atom+xml" title="Feed - MySampleDomain.com" href="/app.php/feed?sid=b5b4cde34n4520cac0f57bb30657e4b9"> <link rel="alternate" type="application/atom+xml" title="Feed - New Topics" href="/app.php/feed/topics?sid=b5b4cde34n4520cac0f57bb30657e4b9"> <link href="./assets/css/font-awesome.min.css?assets_version=2" rel="stylesheet"> <link href="./styles/elegance_3.2.5/theme/stylesheet.css?assets_version=2" rel="stylesheet">
https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html
一個鮮為人知的事實是,我最初開始從事 ModSecurity 的工作是因為我對無法記錄完整的 HTTP 事務數據感到沮喪。執行此操作的審計日誌是最早實現的功能之一。
從 中刪除
E
(“Response body”) 參數SecAuditLogParts
。有關所有可能的參數,請參閱“表 4.4. 審核日誌部分”部分,並僅記錄您想要的參數。