Хостинг. ModSecurity: Access denied with code 424, (36)File name too long: access to

iren_serg
9 років
0
Уже неделю сыпятся ошибки такого плана: ModSecurity: Access denied with code 424 (phase 2). Pattern match "\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\+\\\\.*result\\\\:" at REQUEST_URI. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "7911"] [id "301311"] [rev "2"] [msg "RS-2 Antispam: Spam: Session Splitting Spam Attempt"] [data "+++++++++++result:"] [severity "WARNING"] [hostname "za40.org"] [uri "/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+\\xed\\xe5\\xe8\\xe7\\xe2\\xe5\\xf1\\xf2\\xed\\xfb\\xe9+\\xf2\\xe8\\xef+\\xf2\\xe5\\xea\\xf1\\xf2\\xee\\xe2\\xee\\xe9+\\xe7\\xe0\\xf9\\xe8\\xf2\\xfb,+\\xe4\\xee\\xe1\\xe0\\xe2\\xfc\\xf2\\xe5+\\xe2+textcaptcha.txt;+\\xe8\\xf1\\xef\\xee\\xeb\\xfc\\xe7\\xee\\xe2\\xe0\\xed+\\xed\\xe8\\xea\\xed\\xe5\\xe9\\xec+\\"SelenaKt\\";+"] [unique_id "VJbjoFvOyJ8AAiAbdiAAAAAD"]

И изредка такого плана:
(36)File name too long: access to /index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+\xed\xe5\xe8\xe7\xe2\xe5\xf1\xf2\xed\xfb\xe9+\xf2\xe8\xef+\xf2\xe5\xea\xf1\xf2\xee\xe2\xee\xe9+\xe7\xe0\xf9\xe8\xf2\xfb,+\xe4\xee\xe1\xe0\xe2\xfc\xf2\xe5+\xe2+textcaptcha.txt;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"Adrianlady";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xe2\xf5\xee\xe4+\xe2+\xe0\xea\xea\xe0\xf3\xed\xf2+\xed\xe5+\xf3\xe4\xe0\xeb\xf1\xff;+\xed\xe8+\xee\xe4\xed\xee\xe3\xee+\xe8\xe7+\xed\xe5\xee\xe1\xf5\xee\xe4\xe8\xec\xfb\xf5+\xf0\xe0\xe7\xe4\xe5\xeb\xee\xe2+\xed\xe5+\xed\xe0\xe9\xe4\xe5\xed\xee;+Result:+\xed\xe5\xe8\xe7\xe2\xe5\xf1\xf2\xed\xfb\xe9+\xf2\xe8\xef+\xf2\xe5\xea\xf1\xf2\xee\xe2\xee\xe9+\xe7\xe0\xf9\xe8\xf2\xfb,+\xe4\xee\xe1\xe0\xe2\xfc\xf2\xe5+\xe2+textcaptcha.txt;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"Adrianlady";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xe2\xf5\xee\xe4+\xe2+\xe0\xea\xea\xe0\xf3\xed\xf2+\xed\xe5+\xf3\xe4\xe0\xeb\xf1\xff;+\xed\xe8+\xee\xe4\xed\xee\xe3\xee+\xe8\xe7+\xed\xe5\xee\xe1\xf5\xee\xe4\xe8\xec\xfb\xf5+\xf0\xe0\xe7\xe4\xe5\xeb\xee\xe2+\xed\xe5+\xed\xe0\xe9\xe4\xe5\xed\xee; failed (filesystem path '/home/za40/za40.org/www/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+\xed\xe5\xe8\xe7\xe2\xe5\xf1\xf2\xed\xfb\xe9+\xf2\xe8\xef+\xf2\xe5\xea\xf1\xf2\xee\xe2\xee\xe9+\xe7\xe0\xf9\xe8\xf2\xfb,+\xe4\xee\xe1\xe0\xe2\xfc\xf2\xe5+\xe2+textcaptcha.txt;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"Adrianlady";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xe2\xf5\xee\xe4+\xe2+\xe0\xea\xea\xe0\xf3\xed\xf2+\xed\xe5+\xf3\xe4\xe0\xeb\xf1\xff;+\xed\xe8+\xee\xe4\xed\xee\xe3\xee+\xe8\xe7+\xed\xe5\xee\xe1\xf5\xee\xe4\xe8\xec\xfb\xf5+\xf0\xe0\xe7\xe4\xe5\xeb\xee\xe2+\xed\xe5+\xed\xe0\xe9\xe4\xe5\xed\xee;+Result:+\xed\xe5\xe8\xe7\xe2\xe5\xf1\xf2\xed\xfb\xe9+\xf2\xe8\xef+\xf2\xe5\xea\xf1\xf2\xee\xe2\xee\xe9+\xe7\xe0\xf9\xe8\xf2\xfb,+\xe4\xee\xe1\xe0\xe2\xfc\xf2\xe5+\xe2+textcaptcha.txt;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"Adrianlady";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xe2\xf5\xee\xe4+\xe2+\xe0\xea\xea\xe0\xf3\xed\xf2+\xed\xe5+\xf3\xe4\xe0\xeb\xf1\xff;+\xed\xe8+\xee\xe4\xed\xee\xe3\xee+\xe8\xe7+\xed\xe5\xee\xe1\xf5\xee\xe4\xe8\xec\xfb\xf5+\xf0\xe0\xe7\xe4\xe5\xeb\xee\xe2+\xed\xe5+\xed\xe0\xe9\xe4\xe5\xed\xee;'), referer: za40.org/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%ED%E5%E8%E7%E2%E5%F1%F2%ED%FB%E9+%F2%E8%EF+%F2%E5%EA%F1%F2%EE%E2%EE%E9+%E7%E0%F9%E8%F2%FB,+%E4%EE%E1%E0%E2%FC%F2%E5+%E2+textcaptcha.txt;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Adrianlady%22;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC;+%E2%F5%EE%E4+%E2+%E0%EA%EA%E0%F3%ED%F2+%ED%E5+%F3%E4%E0%EB%F1%FF;+%ED%E8+%EE%E4%ED%EE%E3%EE+%E8%E7+%ED%E5%EE%E1%F5%EE%E4%E8%EC%FB%F5+%F0%E0%E7%E4%E5%EB%EE%E2+%ED%E5+%ED%E0%E9%E4%E5%ED%EE;+Result:+%ED%E5%E8%E7%E2%E5%F1%F2%ED%FB%E9+%F2%E8%EF+%F2%E5%EA%F1%F2%EE%E2%EE%E9+%E7%E0%F9%E8%F2%FB,+%E4%EE%E1%E0%E2%FC%F2%E5+%E2+textcaptcha.txt;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Adrianlady%22;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC;+%E2%F5%EE%E4+%E2+%E0%EA%EA%E0%F3%ED%F2+%ED%E5+%F3%E4%E0%EB%F1%FF;+%ED%E8+%EE%E4%ED%EE%E3%EE+%E8%E7+%ED%E5%EE%E1%F5%EE%E4%E8%EC%FB%F5+%F0%E0%E7%E4%E5%EB%EE%E2+%ED%E5+%ED%E0%E9%E4%E5%ED%EE;

Стоит ли предпринимать что-либо по этому поводу? Ошибки занимают от 3 до 10 страниц...... Разные IP адреса.
rudenko
9 років
0
Это попытки взлома, которые блокирует установленный на хостинге mod_security.
iren_serg
9 років
0
Так и догадался. Вот только ещё неделю назад таких попыток практически не было, а тут логи на несколько страниц....... Не понятно чем им мог приглянуться мой форум?
rudenko
9 років
0
Их поисковая система нашла ваш форум, определила, что там стоит определенный движек и начала бомбить с попыткой взломать.
Целью взлома является установка вредоностного кода с последующей рассылкой спама или создания ботнета.
В 99.99% случаев это не целенаправленный взлом конкретного сайта.
iren_serg
9 років
0
Илья, спасибо вам. Есть ли смысл потратить время и заблокировать этих ботов по ip адресу? Хостинг Украина предоставляет такую услугу, насколько разобрался......
rudenko
9 років
0
Если количество IP адресов ограничено, то есть смысл, если они атакуют с сотен разных IP, то не стоит тратить на это время так как весь ботнет не заблокируете.
iren_serg
9 років
0
Попробовал с десяток айпишников заблокировать, посмотрим что получится.
И последний вопрос: логи сервера (обычные, не ошибка) страниц на 600 за день набегают.... это нормально такое количество?


Смотрите образец логов:
22.12 10:46:02 188.231.179.213 GET /Themes/default/images/starmod.gif HTTP/1.0" 200 596 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /Themes/default/images/star.gif HTTP/1.0" 200 362 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /Themes/default/images/ip.gif HTTP/1.0" 200 108 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /Themes/default/images/Female.gif HTTP/1.0" 200 329 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0 HTTP/1.0" 200 7546 "za40.org/index.php?board=23.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /index.php?action=dlattach;attach=933;type=avatar HTTP/1.0" 200 8492 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
22.12 10:46:02 188.231.179.213 GET /index.php?action=dlattach;attach=1180;type=avatar HTTP/1.0" 200 6862 "za40.org/index.php?PHPSESSID=ha3ek4tm0k7jjsmdn42cnvhb33&topic=346.0" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
rudenko
9 років
0
логи сервера (обычные, не ошибка) страниц на 600 за день набегают.... это нормально такое количество?© iren_serg

На размер лога можно не обращать внимания.
Тема закрита.