modsecurity inbound_anomaly_score

3

Eu recebo esse erro do servidor da web - esse problema é conhecido. Há muitas perguntas no google - mas não uma solução clara.

[error] [client ] ModSecurity: Warning. Operator LT matched 20 at TX:inbound_anomaly_score. [file "/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_60_correlation.conf"] [line "31"] [msg "Inbound Anomaly Score (Total Inbound Score: 5, SQLi=, XSS=): Host header is a numeric IP address"] [hostname ""]
    
por webminal.org 15.09.2010 / 17:51

3 respostas

5

Você está acessando a máquina via IP em vez de DNS? Este é o comportamento projetado, se assim, como mod_security está emitindo esta mensagem em resposta à máquina que está sendo acessada via IP. Se você não quiser o erro, pode comentar a regra no arquivo listado no seu erro.

Para algumas informações de segundo plano, a razão pela qual a regra existe na configuração padrão é porque na maioria dos sites da Web você tem um nome associado ao DNS. Portanto, sua base de clientes deve estar usando esse nome. Muitos bots maliciosos gostam de "atacar" ou encontrar máquinas vulneráveis, simplesmente incrementando através de intervalos de IP. Ao bloquear essas solicitações por IP no início, você provavelmente reduz o risco. Lembre-se de reiniciar o Apache após a mudança.

    
por 17.09.2010 / 15:55
0

Mais um cenário é quando você tem o LYNX executando algumas tarefas de crontab. O lynx é considerado um "rastreador de sites" nas regras padrão incluídas, basta desativá-lo.

Boa sorte

    
por 07.08.2012 / 04:16
0

Joshua Enfield deu uma boa explicação do problema, e se você quiser dar acesso ao seu servidor com um endereço IP direto, você pode desabilitar a regra criando um novo arquivo .conf na pasta com as regras do mod_security2:

modsecurity_crs_21_protocol_anomalies_customrules.conf

SecRuleRemoveById 960017

Você pode usar SecRuleRemoveById para remover a regra ou comentá-la no arquivo original:

[file "C:/Program Files/Apache Software Foundation/Apache2.2/conf/modsecurity_crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "98"] [id "960017"]

A primeira opção deve ser melhor, pois você saberá quais regras estão desabilitadas e terá mais controle no final.

O exemplo que dei acima, funciona com as últimas regras do OWASP 2.2.7.

* Também tenha em mente que desabilitar uma regra não é provavelmente a melhor maneira de resolver o problema, e a regra deve ser habilitada novamente assim que você entender e testar. Outra maneira de resolvê-lo é obter um serviço redirecionador de DNS gratuito para seu IP e acessar seu servidor da Internet com o novo nome de domínio:

por 14.02.2013 / 13:41