توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : راهنمايي در مورد كانفيگ سرور
jaheshserver
November 23rd, 2014, 18:15
دوستان اين سرورم زياد اي پي بلاك ميكنه فكر مي كنم خيلي سخت گيرانه كانفيگ كردم !! پيام زير موقع بلاك كردن يك اي پي به ايميلم مياد ببينيد كجا مشكل داره بنظرتان:
[Sun Nov 23 17:59:32 2014] [error] [client 151.235.253.130] ModSecurity: Access denied with code 406 (phase 2). Invalid UTF-8 encoding: invalid byte value in character at REQUEST_HEADERS:User-Agent. [offset "89"] [file "/usr/local/apache/conf/modsec2.user.conf"] [line "23"] [id "1234123439"] [msg "UTF8 Encoding Abuse Attack Attempt"] [severity "WARNING"] [hostname ". (http://dlrooz.ir/).."] [uri "/\\xd8\\xaf\\xd8\\xa7\\xd9\\x86\\xd9\\x84\\xd9\\x88 \\xd8\\xaf-\\xd9\\x81\\xdb\\x8c\\xd9\\x84\\xd9\\x85-\\xd8\\xb3\\xd8\\xb1-\\xd8\\xa8\\xd8\\xb1\\xdb\\x8c\\xd8\\xaf\\xd9\\x86-\\xd8\\xae\\xd8\\xa8\\xd8\\xb1\\xd9\\x86\\xda\\xaf \\xd8\\xa7\\xd8\\xb1-\\xd8\\xa2\\xd9\\x85\\xd8\\xb1\\xdb\\x8c\\xda\\xa9 \\xd8\\xa7\\xdb\\x8c\\xdb\\x8c/"] [unique_id "VHHvTE4uQKYABTfMGW0AAACP"]
j4b3r
November 23rd, 2014, 18:19
سلام
اگر سرور هاستینگ هست از rule ها دیفالت Mod security استفاده کنید
در حال حاضر rule ّا را بررسی کنید
jaheshserver
November 23rd, 2014, 18:33
سلام
اگر سرور هاستینگ هست از rule ها دیفالت Mod security استفاده کنید
در حال حاضر rule ّا را بررسی کنید
من به تنظيمات mod_security دست نزدم فقط نصب و فعالش كردم و رولي اضافه نكردم
M.D.A
November 23rd, 2014, 18:49
لطفا شرایطی که باعث بلاک میشه را بفرمایید.
یعنی چند کانکشن همزمان از یک آی پی؟
کانکشن طولانی با یک آی پی؟
یا...؟
jaheshserver
November 23rd, 2014, 19:12
لطفا شرایطی که باعث بلاک میشه را بفرمایید.
یعنی چند کانکشن همزمان از یک آی پی؟
کانکشن طولانی با یک آی پی؟
یا...؟
من نمي دونم براي چي بلاك ميكنه مسئله همين جاست !! ايميلش رو فرستادم ببينيد شما دليلش رو متوجه ميشيد.
من حتي تعداد كانكشن CT_LIMIT = Default: 0 [0 or 10-1000] روي 500 گذاشتم اما باز هم روزي 20-30 اي پي بلاك ميشه!!
كانكشن طولاني رو نمي دونم كدوم قسمت تنظيم ميشه ?
Yas-Host
November 23rd, 2014, 19:21
این نوع بلاک شدن ربطی به تعداد کانشکن ها ندارد
پیشنهاد بنده استفاده از پروفایل های دیفالت خود csf هست .
M.D.A
November 23rd, 2014, 19:34
بنده فکر کردم کانکشن های خودتون هم بلاک میشه!
کانکشن های خودتون مشکلی نداره؟
کسی در مورد دان بودن سرور تون بهتون گفته؟
یعنی شده کسی بگه آی پیش بلاک شده؟
به نظر بنده عملیات بلاک داره درست انجام میشه،حالا شما جواب سوال هام بدید تا با اطمینان بگم مشکل چیه.
موفق باشید
jaheshserver
November 23rd, 2014, 19:47
بنده فکر کردم کانکشن های خودتون هم بلاک میشه!
کانکشن های خودتون مشکلی نداره؟
کسی در مورد دان بودن سرور تون بهتون گفته؟
یعنی شده کسی بگه آی پیش بلاک شده؟
به نظر بنده عملیات بلاک داره درست انجام میشه،حالا شما جواب سوال هام بدید تا با اطمینان بگم مشکل چیه.
موفق باشید
چرا از يوزرهاي معمولي هم بلاك كرده چند بار حتي چند بار پيش اومده حتي خودم هم تو سايتم بودم بلاك كرده :دي
لاگ ها رو نگاه كردم به يك سرنخ رسيدم بلاخره !!
Nov 23 18:00:07 cp lfd[365408]: (mod_security) mod_security (id:1234123439) triggered by 151.235.253.130 (IR/Iran, Islamic Republic of/-): 5 in the last 3600 secs - *Blocked in csf* [LF_MODSEC]
اين نوشته اين اي پي بلاك شده به اين دليل :
5in the last 3600 secs
حالا اين چيه دقيقا نمي دونم !! حدس ميزنم مربوط به اين قسمت باشه :
23885
- - - Updated - - -
این نوع بلاک شدن ربطی به تعداد کانشکن ها ندارد
پیشنهاد بنده استفاده از پروفایل های دیفالت خود csf هست .
اره تنظيمات ديفالتش اوكيه فقط من قسمت هايي كه مربوط به تعداد كانكشن و ddos هست يخورده تغييرش دادم تا ايمن تر بشه
M.D.A
November 23rd, 2014, 19:59
Lf_select شما رو چند هست؟
jaheshserver
November 23rd, 2014, 20:02
Lf_select شما رو چند هست؟
روي همون ديفالت يعني 0
M.D.A
November 23rd, 2014, 20:13
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
jaheshserver
November 23rd, 2014, 20:14
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
باشه ميزارم روي 300 ! من گوگلش هم كردم اصلا نفهميدم اين چي هست!!
باز اگر اي پي بلاك كرد خبر ميدم
M.D.A
November 23rd, 2014, 20:17
باشه ميزارم روي 300 ! من گوگلش هم كردم اصلا نفهميدم اين چي هست!!
باز اگر اي پي بلاك كرد خبر ميدم
اگه بلاک هم نکرد باز توی تاپیک بگید شاید واسه کس دیگه هم این مشکل پیش بیاد و بتونه از طریق این تاپیک مشکلش حل کنه.
موفق باشید
jaheshserver
November 23rd, 2014, 23:47
اگه بلاک هم نکرد باز توی تاپیک بگید شاید واسه کس دیگه هم این مشکل پیش بیاد و بتونه از طریق این تاپیک مشکلش حل کنه.
موفق باشید
باشه حتما تا فردا شب مشخص ميشه دقيقا.
- - - Updated - - -
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
بازم بلاک شد! فکر کنم باید اون 5 رو بیشتر کنم
novin-web
November 24th, 2014, 00:02
سلام
دوست عزیز این مشکل بعد از اپدیت جدید mod sec
بوجود امده که با تغییر پارامتر number_mod به عددی بین 50-100 حل میشه.
jaheshserver
November 24th, 2014, 10:33
سلام
دوست عزیز این مشکل بعد از اپدیت جدید mod sec
بوجود امده که با تغییر پارامتر number_mod به عددی بین 50-100 حل میشه.
پیداش نکردم این گزینه رو احتمالا منظورتون lf_modsec نیست؟
کلا دوست دارم بدونم اینها دقیقا چیه جهت اطلاعات عمومی !! اگر توضیحی هم بدید ممنون میشم
sajjadsec
November 24th, 2014, 18:53
این که mod security جلوگیری کرده یه بحث دیگه هست بلاک شدن یه بحث دیگه برای اینکه ایپی بلاک نشه باید از csf (اون اخرای کانفیگشه تقریبا) lfd_modsec یا lf_modsec (دقیق یادم نیست کلمه اش) رو دیفالت کنید.
برای اینکه کلا اینگونه پکت ها رو کلا خود وب سرور هم جواب بده باید قوانین mod sec رو بررسی کنید اما احتمالا با همون csf حل بشه چون mod security بعضی وقت ها فقط لاگ میگیره یا فقط الرت میده اما درخواست کامل انجام میشه اما از اونطرف چون تو سی اس اف قانون تعریف شده براش iptables ایپی مورد نظرو بلاک میکنه
secureconfig
November 25th, 2014, 13:58
با سلام.
در فایل etc/csf/csf.conf/ متن زیر را جستجو کنید :
LF_MODSEC = "1"
سپس به شکل زیر تغییر دهید :
LF_MODSEC = "0"
و بعد از ان csf + lfd را ریستارت کنید.
مشکل رفع خواهد شد ;)
jaheshserver
November 25th, 2014, 15:36
با سلام.
در فایل etc/csf/csf.conf/ متن زیر را جستجو کنید :
LF_MODSEC = "1"
سپس به شکل زیر تغییر دهید :
LF_MODSEC = "0"
و بعد از ان csf + lfd را ریستارت کنید.
مشکل رفع خواهد شد ;)
میشه بگین این گزینه دقیقا چیه؟
secureconfig
November 25th, 2014, 15:51
زمانی که کاربر قوانین تعریف شده در mod_security را رعایت نکند ، ایپی ان توسط csf بلاک میشود.
باتوجه به متنی که از ایمیل بلاک ارسال کرده اید با اموزش داده شده مشکل رفع میشود.
jaheshserver
November 25th, 2014, 16:07
زمانی که کاربر قوانین تعریف شده در mod_security را رعایت نکند ، ایپی ان توسط csf بلاک میشود.
باتوجه به متنی که از ایمیل بلاک ارسال کرده اید با اموزش داده شده مشکل رفع میشود.
خب با قرار دادن 0 کلا این بخشش غیر فعال میشه که فکر نمیکنم کار درستی باشه من قرار دادمش از روی 5 به روی 10 که سختگیریش کمتر بشه
secureconfig
November 25th, 2014, 16:10
شما باید در لاگ اپاچی و mod_security علت بلاک شدن ایپی را پیدا کنید ،سپس Rule های مورد نظر را طوری تنظیم کنید که مشکل ساز نباشند.
دقت کنید اگر ایپی بخواطر انجام عملیات تست نفوذ ویا هک بسته شده مشکلی در کانفیگ نیست - اما باتوجه به اینکه فرموده اید تعداد زیادی ایپی بلاک شده و هر روز این روند ادامه داشته است ، احتمالا مشکل در Rule های تعریف شده هست.
درصورت نیاز دسترسی سرور را ارسال کنید بررسی میشود.
M.D.A
November 25th, 2014, 17:12
یک سوال
الان که آی پی بلاک میشه و گزارش برای شما میاد، آیا جای 3600 الان 300 نوشته یا همون 3600 گزارش میشه؟!