Fórumok
Van egy ModSecurity szabályom, ami minden xmlrpc.php kérelmet blokkol:
SecRule REQUEST_URI "/xmlrpc.php" "phase:1,id:'9000001',log,noauditlog,deny,status:503"
Teszteltem is, mind POST, mind GET kérelmekkel, és működik is. Ha a szabályt kiveszem, a kérelmek lefutnak, tehát valóban ez a szabály állítja meg az xmlrpc.php kérelmeket.
Ennek ellenére a következőt látom egy domain apache logjában:
165.227.199.58 - - [22/Nov/2019:04:37:44 +0100] "POST /xmlrpc.php HTTP/1.1" 503 0 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
123.148.208.6 - - [22/Nov/2019:04:59:12 +0100] "POST /xmlrpc.php HTTP/1.1" 200 9926 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"Hogyan lehetséges, hogy a szabály ellenére mégis átjut egy-egy xmlrpc.php kérelem? Van amit megfog, és van amit nem. Tudtommal ha egyszer van egy deny szabály, akkor nem elemez tovább, azaz nem lehetséges, hogy más szabály átengedje.
Hogyan módosítsam a szabályt, hogy valóban minden xmlrpc.php kérelmet megfogjon?
Hozzászólások
Jó lenne látni a teljes szabályrendszert - az id alapján ez valami custom rule, ez a REQUEST-900-EXCLUSION-ban van?
Nem lehet, hogy valami tranzakciós változó miatt átugorja ezt a szabály a kérés? Pl IP cím...
(Egyébként miért 503-at adsz vissza?)