Baza wiedzy

Zarządzenie regułami mod_security

Moduł mod_security jest dodatkowym zabezpieczeniem Państwa witryn przed incydentami bezpieczeństwa. Moduł przetwarza żądania HTTP i analizuje pod kątem istnienia specyficznych właściwości, charakterystycznych dla włamań, prób ataków, spamu i testowania witryn pod kątem bezpieczeństwa.

Moduł blokuje m. in.:

  • próby ataków typu brute-force na skrypty Joomla i Wordpress
  • żądania HTTP zawierające kod PHP, HTML, SQL i JavaScript lub zawierające więcej niż 4 adresy URL
  • żądania HTTP zawierające słownictwo charakterystyczne dla spamu
  • niektóre roboty sieciowe

Istnieje możliwość zablokowania przez moduł żądań, które są prawidłowe. Na przykład, jeżeli prowadzimy bloga o programowaniu w PHP, z pewnością będziemy chcieli publikować fragmenty kodu PHP na naszej stronie. Co zrobić gdy poprawne żądanie zwraca kod 403?

W panelu DirectAdmin istnieje opcja "Opcje zaawansowane" - "Mod_Security", która umożliwia wyłączenie reguł sprawiających problemy.

Identyfikator reguły jest zawsze dostępny w logach błędów serwera Apache, które są dostępne w panelu DirectAdmin (opcja "Twoje konto" - "Statystyki/Logi"). Przykładowy fragment logu:

[Fri May 30 13:39:57 2014] [error] [client XXX.X.XX.XXX ModSecurity: Access denied with code 403 (phase 2). Pattern match "/wp-login.php" at REQUEST_URI. [file "/etc/httpd/conf/extra/mod_security.d/00_custom.conf"] [line "7"] [id "50135"] [msg "Login to Wordpress blocked for 600 seconds because of suspected brute-force attack"] [hostname "mojadomena.pl"] [uri "/wp-login.php"] [unique_id "U4huDZBMuA0AAHGAikIAAAAF"]

W powyższym przykładzie zablokowany został dostęp do logowania Wordpress z powodu wielokrotnych nieudanych prób logowania do panelu administracyjnego. Aby wyłączyć to zabezpieczenie, należy dodać regułę 50135 do wyjątków.

Ważne

  • Zmiany w konfiguracji mod_security są stosowane w ciągu 10 minut od ich wprowadzenia, jest to czas niezbędny na przeładowanie konfiguracji na serwerze.
  • Nie zalecamy całkowitego wyłączania modułu z przyczyn bezpieczeństwa - zwłaszcza dla skryptów Joomla i Wordpress. Zalecamy wyłączenie tylko konkretnych reguł, które powodują problem.
  • Aby wyłączyć blokadę logowania do skryptu Wordpress, należy wyłączyć regułę 50135, zaś do skryptu Joomla 50145. Proszę nie wyłączać tych reguł, jeżeli nie zainstalowano dodatkowych modułów zapobiegającym atakom typu brute-force, np. Rename WP Login. Blokada jest zdejmowana automatycznie po 10 minutach, jednak zakładana na nowo, jeżeli nieudane próby logowania nie ustaną.

Oceń przydatność:


Zobacz także: