上週日(11/08)一整天 DR 的網站(Fedora 10)都無法順利連結,而前因是 DR 在前一日、也就是週六做例行的套件更新以及自動關機程序,隔天出門前將伺服器開機後走人,後來發現網站連不上,等到晚上回家後才發現 httpd 因為 mod_secuity 模組的關係無法啟動。查看錯誤訊息是無法載入設定檔案,於是去檢查設定檔所在的目錄,發覺路徑不對,就調整了一下,但檔案也有缺,所以就想上網查清楚到底怎麼回事,才發現是套件出了包:
https://bugzilla.redhat.com/show_bug.cgi?id=533124
只要把套件從 2.5.10-1 更換成 2.5.10-2 即可,不過在那當下 yum 更新還抓不到最新的套件,DR 只好從這裡抓下來解決:
http://koji.fedoraproject.org/koji/buildinfo?buildID=140180
更新之後,httpd 可以啟動了,然而新的問題是 DR 網站裡一個叫做「document.gif」的圖檔被擋住了,查看 error.log 發現又是 mod_secuity 所為:
[Thu Nov 12 00:26:05 2009] [error] [client 61.64.173.115] ModSecurity: Warning. Operator GE matched 5 at TX:anomaly_score. [file "/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_60_correlation.conf"] [line "41"] [msg "Transactional Anomaly Score (score 20): Detects very basic XSS probings"] [hostname "darkranger.no-ip.org"] [uri "/image/document.gif"] [unique_id "SvrlnX8AAAEAAC0TRNwAAAAA"]
查了一下什麼是 XSS,原來就是傳說中的「跨網站指令碼攻擊」,但是這個圖檔非常單純,憑什麼擋下來?所以 DR 做了點實驗,把 document.gif 重新命名為 document2.gif,竟然就過了,這規則也太腦殘了吧?然而 DR 的網頁都是手工的 HTML,為了一條有問題的規則動輒挖出所有網頁改內容,儘管用批次處理做得到卻不太應該,應該還是要從規則著手才是。
於是把 modsecurity_crs_60_correlation.conf 裡頭那行規則註解掉,再將 httpd reload,log 雖然沒訊息了,但圖檔還是被擋,這時 DR 陷入了極大的困惑和不解,並且驚覺自己對 mod_secuity 的設計非常非常的不熟!接下來 DR 查了點文件,認為 modsecurity_crs_60_correlation.conf 大概只是處理 log 的輸出,真正的抵擋規則在別的檔案,直接按字面上檢查 modsecurity_crs_41_xss_attacks.conf 卻看不出個所以然。只好使出殺手鐧,設定檔一個個給 httpd 載進去試,看是載了哪個檔案後被擋下來。然而最後一路到 modsecurity_crs_49_enforcement.conf 才擋下來,而裡頭的規則只是按分數執行抵擋結果而已,並沒有判定 XSS 攻擊的部份。顯然各個設定檔有交互參照性,試到這裡就夠了,還是有請專業吧。
最後 DR 把問題丟到 Core Rule Set 的 mailing list,得到以下的回覆:其實要檢查的是 modsec_audit.log,裡頭可以找到究竟是哪裡的規則把它擋下來,於是 DR 參照 log,鎖定 modsecurity_crs_41_phpids_filters.conf 這個檔案,將裡頭的一條規則註解掉解決,在還沒搞清楚如何撰寫規則前就先這樣處理了。
補充資料,以 mod_security 的中文文件來說,以下這篇是 DR 目前為止找到最「好看」的:
http://support.oss.org.tw/wiki/index.php/ModSecurity
沒有留言:
張貼留言