Plesk + Mod Security by Atomicorp

Sezione dedicata alla sicurezza dei dati e dei backup, oltre che alla discussione su eventuali problemi di sicurezza riscontrati. Se il problema è particolarmente grave, contattateci a info at openstamanager dot com.
Rispondi
xammax
Messaggi: 1
Iscritto il: 11 set 2018 18:53

Plesk + Mod Security by Atomicorp

Messaggio da xammax »

Nella speranza sia utile a qualcuno.

SCENARIO: Plesk + Mod Security by Atomicorp, SQL injection rules attivate

PROBLEMA: i salvataggi da Strumenti -> Viste produce un server error 403 (Forbidden)

MOTIVO: nel log di apache si trova la spiegazione …

Codice: Seleziona tutto

[client 10.0.0.46] ModSecurity: Access denied with code 403 (phase 2). 
Pattern match "(?:(?:truncate|truncate|rename)[[:space:]]+
[a-z| |0-9|\\\\*|\\\\.|\\\\,|\\\\(|\\\\)|_|\\\\-]+[[:space:]]
+(?:into|from|table|database|index|view)[[:space:]]+[a-z|0-9|\\\\*| |
\\\\{|\\\\.|\\\\,|\\\\(|\\\\)|_|\\\\-]|\\\\bunion\\\\b.{1,256}?
select.{1,256}[a-z0-9\\\\(\\\\)].{1,256}(?:from|#| ..." at ARGS:query[3]. [file "/etc/apache2/modsecurity.d/rules/tortix/modsec/10_asl_rules.conf"] 
[line "300"] [id "340016"] [rev "46"] [msg "Atomicorp.com WAF Rules: 
Attack Blocked - SQL injection attempt detected"] [data "select ragione_sociale from a"] 
[severity "CRITICAL"] [tag "SQLi"] [hostname " … il nome host … "] [uri "/editor.php"] [unique_id "W5bQ5H8AAAEAAFTsGrwAAAAH"], referer: 
https:// … il server host … /editor.php?id_module=37&id_record=15
SOLUZIONE: in Plesk, per singolo sito, cliccare su Apache & nginx Settings. Poi in Additional Apache directives, nei textarea appositi (http/https) inserire:

Codice: Seleziona tutto

<LocationMatch /editor.php>
  <IfModule mod_security2.c>
    SecRuleEngine Off 
  </IfModule>
</LocationMatch>
...

E' un modo quick & dirty, ma funzia. Info riprese da: https://wiki.atomicorp.com/wiki/index.php/Mod_security

Avatar utente
fabiop82
Messaggi: 896
Iscritto il: 27 mar 2012 19:27
Località: Padova
Contatta:

Re: Plesk + Mod Security by Atomicorp

Messaggio da fabiop82 »

ciao xammax
grazie per aver condiviso problema e soluzione, da quello che capisco leggendo il log, la query modificata viene inviata tramite variabile post per essere salvata, ma questa operazione viene interpretata come un attacco di tipo "SQL injection" :roll:

Solitamente non usiamo Plesk sui nostri cloud, ma questa informazione sicuramente ci tornerà utile! ;)
programmatore freelance - Padova
STAFF OpenSTAManager
http://www.fpsoftware.net

Rispondi