Mod-Security

Modsecurity - 將整個網頁發佈到日誌

  • March 4, 2019

我在 Ubuntu 18.04 上執行最新版本的 Modsecurity,但我遇到了一個無法通過搜尋找到的奇怪問題。

問題是我伺服器的某些訪問者將網頁的全部內容髮佈到日誌中。文章通常是 GET,內容長度通常為 14818 或更長。

顯然,這會使日誌變得更大,但更重要的是,在分析如此多的內容時會陷入困境,從而阻礙了安全性。

日誌太大了,無法在此處發布,因此我只發布了頂部標題行。內容從下面的“–03dd7202-E–”部分開始,持續到另外 350 行左右。它是域目錄根目錄中 index.html 文件的全部內容。這種聯繫似乎源自俄羅斯,所以這意味著什麼嗎?

我不明白這是一個可以接受的行為嗎?我在 apache2 日誌中看不到此內容,僅在 Modsec_audit.log 中看到

希望有人解決了這個問題,並且可以提出一個不看整個日誌本身的方向。它有 400 多行。在這裡發帖太多了。

注意:這不是關於上傳任何類型的文件。這是關於我在 modesecurity 日誌中獲取網頁內容(在我的伺服器上)的事實。

謝謝

--03dd7202-A--
[03/Mar/2019:18:20:30 --0500] XHnhBvbr4wow5A1f3YZxVmAAAAU 46.118.156.122 34262 192.168.4.12 80
--03dd7202-B--
GET / HTTP/1.1
Referer: https://mamylik.ru/
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727)
Host: MySampleDomain.com

--03dd7202-F--
HTTP/1.1 200 OK
Set-Cookie: phpbb3_t6uai_u=1; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_k=; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Set-Cookie: phpbb3_t6uai_sid=b5b4cde34n4520cac0f57bb30657e4b9; expires=Mon, 02-Mar-2020 23:20:30 GMT; path=/; domain=MySampleDomain.com; secure; HttpOnly
Cache-Control: private, no-cache="set-cookie"
Expires: Sun, 03 Mar 2019 23:20:30 GMT
Vary: Accept-Encoding
Content-Length: 14818
Content-Type: text/html; charset=UTF-8

--03dd7202-E--
<!DOCTYPE html>
<html dir="ltr" lang="en-gb">
<head>
<meta charset="utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1" />

<title>MySampleDomain.com - Index page</title>




   <link rel="alternate" type="application/atom+xml" title="Feed - MySampleDomain.com" href="/app.php/feed?sid=b5b4cde34n4520cac0f57bb30657e4b9">          <link rel="alternate" type="application/atom+xml" title="Feed - New Topics" href="/app.php/feed/topics?sid=b5b4cde34n4520cac0f57bb30657e4b9">               


<link href="./assets/css/font-awesome.min.css?assets_version=2" rel="stylesheet">
<link href="./styles/elegance_3.2.5/theme/stylesheet.css?assets_version=2" rel="stylesheet">

https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html

一個鮮為人知的事實是,我最初開始從事 ModSecurity 的工作是因為我對無法記錄完整的 HTTP 事務數據感到沮喪。執行此操作的審計日誌是最早實現的功能之一。

從 中刪除E(“Response body”) 參數SecAuditLogParts。有關所有可能的參數,請參閱“表 4.4. 審核日誌部分”部分,並僅記錄您想要的參數。

引用自:https://serverfault.com/questions/956575