راهنمايي در مورد كانفيگ سرور
دوستان اين سرورم زياد اي پي بلاك ميكنه فكر مي كنم خيلي سخت گيرانه كانفيگ كردم !! پيام زير موقع بلاك كردن يك اي پي به ايميلم مياد ببينيد كجا مشكل داره بنظرتان:
کد:
lfd on cp.jaheshserver.com: blocked 151.235.253.130 (IR/Iran, Islamic Republic of/-)
Time: Sun Nov 23 18:00:07 2014 +0330
IP: 151.235.253.130 (IR/Iran, Islamic Republic of/-)
Failures: 5 (mod_security)
Interval: 3600 seconds
Blocked: Permanent Block
Log entries:
[Sun Nov 23 17:59:32 2014] [error] [client 151.235.253.130] ModSecurity: Access denied with code 406 (phase 2). Invalid UTF-8 encoding: invalid byte value in character at REQUEST_HEADERS:User-Agent. [offset "89"] [file "/usr/local/apache/conf/modsec2.user.conf"] [line "23"] [id "1234123439"] [msg "UTF8 Encoding Abuse Attack Attempt"] [severity "WARNING"] [hostname "..."] [uri "/\\xd8\\xaf\\xd8\\xa7\\xd9\\x86\\xd9\\x84\\xd9\\x88\\xd8\\xaf-\\xd9\\x81\\xdb\\x8c\\xd9\\x84\\xd9\\x85-\\xd8\\xb3\\xd8\\xb1-\\xd8\\xa8\\xd8\\xb1\\xdb\\x8c\\xd8\\xaf\\xd9\\x86-\\xd8\\xae\\xd8\\xa8\\xd8\\xb1\\xd9\\x86\\xda\\xaf\\xd8\\xa7\\xd8\\xb1-\\xd8\\xa2\\xd9\\x85\\xd8\\xb1\\xdb\\x8c\\xda\\xa9\\xd8\\xa7\\xdb\\x8c\\xdb\\x8c/"] [unique_id "VHHvTE4uQKYABTfMGW0AAACP"]
پاسخ : راهنمايي در مورد كانفيگ سرور
سلام
اگر سرور هاستینگ هست از rule ها دیفالت Mod security استفاده کنید
در حال حاضر rule ّا را بررسی کنید
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
j4b3r
سلام
اگر سرور هاستینگ هست از rule ها دیفالت Mod security استفاده کنید
در حال حاضر rule ّا را بررسی کنید
من به تنظيمات mod_security دست نزدم فقط نصب و فعالش كردم و رولي اضافه نكردم
پاسخ : راهنمايي در مورد كانفيگ سرور
لطفا شرایطی که باعث بلاک میشه را بفرمایید.
یعنی چند کانکشن همزمان از یک آی پی؟
کانکشن طولانی با یک آی پی؟
یا...؟
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
M.D.A
لطفا شرایطی که باعث بلاک میشه را بفرمایید.
یعنی چند کانکشن همزمان از یک آی پی؟
کانکشن طولانی با یک آی پی؟
یا...؟
من نمي دونم براي چي بلاك ميكنه مسئله همين جاست !! ايميلش رو فرستادم ببينيد شما دليلش رو متوجه ميشيد.
من حتي تعداد كانكشن CT_LIMIT = Default: 0 [0 or 10-1000] روي 500 گذاشتم اما باز هم روزي 20-30 اي پي بلاك ميشه!!
كانكشن طولاني رو نمي دونم كدوم قسمت تنظيم ميشه ?
پاسخ : راهنمايي در مورد كانفيگ سرور
این نوع بلاک شدن ربطی به تعداد کانشکن ها ندارد
پیشنهاد بنده استفاده از پروفایل های دیفالت خود csf هست .
پاسخ : راهنمايي در مورد كانفيگ سرور
بنده فکر کردم کانکشن های خودتون هم بلاک میشه!
کانکشن های خودتون مشکلی نداره؟
کسی در مورد دان بودن سرور تون بهتون گفته؟
یعنی شده کسی بگه آی پیش بلاک شده؟
به نظر بنده عملیات بلاک داره درست انجام میشه،حالا شما جواب سوال هام بدید تا با اطمینان بگم مشکل چیه.
موفق باشید
1 فایل پیوست
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
M.D.A
بنده فکر کردم کانکشن های خودتون هم بلاک میشه!
کانکشن های خودتون مشکلی نداره؟
کسی در مورد دان بودن سرور تون بهتون گفته؟
یعنی شده کسی بگه آی پیش بلاک شده؟
به نظر بنده عملیات بلاک داره درست انجام میشه،حالا شما جواب سوال هام بدید تا با اطمینان بگم مشکل چیه.
موفق باشید
چرا از يوزرهاي معمولي هم بلاك كرده چند بار حتي چند بار پيش اومده حتي خودم هم تو سايتم بودم بلاك كرده :دي
لاگ ها رو نگاه كردم به يك سرنخ رسيدم بلاخره !!
نقل قول:
Nov 23 18:00:07 cp lfd[365408]: (mod_security) mod_security (id:1234123439) triggered by 151.235.253.130 (IR/Iran, Islamic Republic of/-): 5 in the last 3600 secs - *Blocked in csf* [LF_MODSEC]
اين نوشته اين اي پي بلاك شده به اين دليل :
نقل قول:
5in the last 3600 secs
حالا اين چيه دقيقا نمي دونم !! حدس ميزنم مربوط به اين قسمت باشه :
فایل پیوست 23885
- - - Updated - - -
نقل قول:
نوشته اصلی توسط
Yas-Host
این نوع بلاک شدن ربطی به تعداد کانشکن ها ندارد
پیشنهاد بنده استفاده از پروفایل های دیفالت خود csf هست .
اره تنظيمات ديفالتش اوكيه فقط من قسمت هايي كه مربوط به تعداد كانكشن و ddos هست يخورده تغييرش دادم تا ايمن تر بشه
پاسخ : راهنمايي در مورد كانفيگ سرور
Lf_select شما رو چند هست؟
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
M.D.A
Lf_select شما رو چند هست؟
روي همون ديفالت يعني 0
پاسخ : راهنمايي در مورد كانفيگ سرور
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
M.D.A
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
باشه ميزارم روي 300 ! من گوگلش هم كردم اصلا نفهميدم اين چي هست!!
باز اگر اي پي بلاك كرد خبر ميدم
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
jaheshserver
باشه ميزارم روي 300 ! من گوگلش هم كردم اصلا نفهميدم اين چي هست!!
باز اگر اي پي بلاك كرد خبر ميدم
اگه بلاک هم نکرد باز توی تاپیک بگید شاید واسه کس دیگه هم این مشکل پیش بیاد و بتونه از طریق این تاپیک مشکلش حل کنه.
موفق باشید
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
M.D.A
اگه بلاک هم نکرد باز توی تاپیک بگید شاید واسه کس دیگه هم این مشکل پیش بیاد و بتونه از طریق این تاپیک مشکلش حل کنه.
موفق باشید
باشه حتما تا فردا شب مشخص ميشه دقيقا.
- - - Updated - - -
نقل قول:
نوشته اصلی توسط
M.D.A
Lf_interval تون روی 300 بزارید
بعد گزارش کنید.
- - - Updated - - -
البته نیاز به گزارش هم نیست چون مطمئنن حل میشه :)
بازم بلاک شد! فکر کنم باید اون 5 رو بیشتر کنم
پاسخ : راهنمايي در مورد كانفيگ سرور
سلام
دوست عزیز این مشکل بعد از اپدیت جدید mod sec
بوجود امده که با تغییر پارامتر number_mod به عددی بین 50-100 حل میشه.
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
novin-web
سلام
دوست عزیز این مشکل بعد از اپدیت جدید mod sec
بوجود امده که با تغییر پارامتر number_mod به عددی بین 50-100 حل میشه.
پیداش نکردم این گزینه رو احتمالا منظورتون lf_modsec نیست؟
کلا دوست دارم بدونم اینها دقیقا چیه جهت اطلاعات عمومی !! اگر توضیحی هم بدید ممنون میشم
پاسخ : راهنمايي در مورد كانفيگ سرور
این که mod security جلوگیری کرده یه بحث دیگه هست بلاک شدن یه بحث دیگه برای اینکه ایپی بلاک نشه باید از csf (اون اخرای کانفیگشه تقریبا) lfd_modsec یا lf_modsec (دقیق یادم نیست کلمه اش) رو دیفالت کنید.
برای اینکه کلا اینگونه پکت ها رو کلا خود وب سرور هم جواب بده باید قوانین mod sec رو بررسی کنید اما احتمالا با همون csf حل بشه چون mod security بعضی وقت ها فقط لاگ میگیره یا فقط الرت میده اما درخواست کامل انجام میشه اما از اونطرف چون تو سی اس اف قانون تعریف شده براش iptables ایپی مورد نظرو بلاک میکنه
پاسخ : راهنمايي در مورد كانفيگ سرور
با سلام.
در فایل etc/csf/csf.conf/ متن زیر را جستجو کنید :
سپس به شکل زیر تغییر دهید :
و بعد از ان csf + lfd را ریستارت کنید.
مشکل رفع خواهد شد ;)
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
secureconfig
با سلام.
در فایل etc/csf/csf.conf/ متن زیر را جستجو کنید :
سپس به شکل زیر تغییر دهید :
و بعد از ان csf + lfd را ریستارت کنید.
مشکل رفع خواهد شد ;)
میشه بگین این گزینه دقیقا چیه؟
پاسخ : راهنمايي در مورد كانفيگ سرور
زمانی که کاربر قوانین تعریف شده در mod_security را رعایت نکند ، ایپی ان توسط csf بلاک میشود.
باتوجه به متنی که از ایمیل بلاک ارسال کرده اید با اموزش داده شده مشکل رفع میشود.
پاسخ : راهنمايي در مورد كانفيگ سرور
نقل قول:
نوشته اصلی توسط
secureconfig
زمانی که کاربر قوانین تعریف شده در mod_security را رعایت نکند ، ایپی ان توسط csf بلاک میشود.
باتوجه به متنی که از ایمیل بلاک ارسال کرده اید با اموزش داده شده مشکل رفع میشود.
خب با قرار دادن 0 کلا این بخشش غیر فعال میشه که فکر نمیکنم کار درستی باشه من قرار دادمش از روی 5 به روی 10 که سختگیریش کمتر بشه
پاسخ : راهنمايي در مورد كانفيگ سرور
شما باید در لاگ اپاچی و mod_security علت بلاک شدن ایپی را پیدا کنید ،سپس Rule های مورد نظر را طوری تنظیم کنید که مشکل ساز نباشند.
دقت کنید اگر ایپی بخواطر انجام عملیات تست نفوذ ویا هک بسته شده مشکلی در کانفیگ نیست - اما باتوجه به اینکه فرموده اید تعداد زیادی ایپی بلاک شده و هر روز این روند ادامه داشته است ، احتمالا مشکل در Rule های تعریف شده هست.
درصورت نیاز دسترسی سرور را ارسال کنید بررسی میشود.
پاسخ : راهنمايي در مورد كانفيگ سرور
یک سوال
الان که آی پی بلاک میشه و گزارش برای شما میاد، آیا جای 3600 الان 300 نوشته یا همون 3600 گزارش میشه؟!
