Antworten: 1
Seite [1] |
|
 r4z0rTry to beat me Herkunft: Daham Beiträge: 153 |
# Thema - 03.08.2009 um 13:26 Uhr
hi leute, seitdem mein hoster apache/php usw. am server rekonfiguriert hat, kam u.a. mod_security hinzu. seitdem experience ich vereinzelt "Metod not implemented - 501"-Error. diese treten nur auf, wenn ich im board etwas poste (und wie gesagt, vereinzelt). mir ist dabei bisweilen noch kein schema aufgefallen, dass ich daher sagen könnte, was diesen fehler verursachen könnte. ich hatte bis heute noch angenommen, dass es u.U. an der textlänge liegt. ich hatte gestern wiederum diesen fehler, und das, nachdem ich einen längeren text geschrieben habe. als ich den in 3 parts mit weniger zeichen aufgesplittet hatte, gings. heute jedoch habe ich einen ähnlich langen text gepostet, bei dem wiederum der 501-fehler nicht auftauchte (und ich ferwendete ebenfalls smileys, siehe dazu unten). in der meldung heißt es dann, dass index.php /POST diesen fehler verursacht. ich habe sogleich den dazugehörigen log-eintrag gecheckt und hier nun der ouput: [Sun Aug 02 18:45:04 2009] [error] [client xxx.xxx.xxx.xxx] ModSecurity: Access denied with code 501 (phase 2). Pattern match "(?:\\b(?:(?:n(?:et(?:\\b\\W+?\\blocalgroup|\\.exe)|(?:map|c)\\.exe)|t(?:racer(?:oute|t)|elnet\\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\\.exe|echo\\b\\W*?\\by+)\\b|c(?:md(?:(?:32)?\\.exe\\b|\\b\\W*?\\/c)|d(?:\\b\\W*?[\\\\/]|\\W*?\\.\\.)|hmod.{0,40}?\\+.{0,3}x))|[\\;\\|\\`]\\W*? ..." at ARGS:comments_text. [file "/etc/apache2/mod-security/modsecurity_crs_40_generic_attacks.conf"] [line "133"] [id "950006"] [msg "System Command Injection"] [data "  \\x0d\\x0a\\x0d\\x0aps"] [severity "CRITICAL"] [tag "WEB_ATTACK/COMMAND_INJECTION"] [hostname "www.swl-clan.at"] [uri "/index.php"] [unique_id "SnXCkFBAgZoAAFSztwcAAAAA"]wie gesagt, es handelte sich um reinen text, kein anhang, keine URLs, keine bilder. ich mein, white-listing ist möglich, aber diese regel sitzt sozusagen im kern und hier was herumzufrickeln kann tödlich enden ... der log-eintrag macht mich neben der sache, dass dieser fehler überhaupt auftritt, stutzig, was folgendes angeht: \\x0d\\x0a\\x0d\\x0aps (das smiley ist als "; )" zu lesen -> automatisches ersetzen)woher das zB kommt, muss mir mal einer sagen. ich mein, das smiley ist ein gebräuchlicher ausdruck in texten. das fiel mir selbst eben auf. mal schaun, ob ich den dazugehörigen eintrag finde. EDIT: ich habe den text (von gestern, wo der fehler auftrat) soeben testweise nochmal gepostet, einmal mit smileys, 1mal ohne und nicht gesplittet. mit smilyes -> 501 error ohne smileys -> success also liegt es mal definitiv nicht an der länge des textes, sondern an den smileys. ich denk mal, dass die RegExp @ mod_security darauf anspringt, wie clansphere die smileys in einem text übersendet. wth ^^ ich hoffe, ich habe genug informationen gegeben, die vllt die lösung bringen. ich mein, ich schließe bisher weder server- noch cps-fuckup aus (so hart das auch klingen mag :O ) greetz, raz0r PS: hier noch ein paar log-output's, die uU helfen könnten: http://paste.geekosphere.org/1062176 in fast allen errors find ich die gleiche RegExp wieder: [data " \\x0d\\x0a\\x0d\\x0aps"]
Zuletzt editiert von r4z0r am 03.08.2009 um 13:58 Uhr (3x Editiert)
|
Inaktiv |
|
 duRiel  Weltmeister  Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 1 - 12.08.2009 um 16:53 Uhr
hi, das ist ja lustig. ich glaube fast dass du das allen direkt den jungs von mod_security schicken kannst. glaube der regex von denen hat schlicht einen fehler drin. der scant da eigentlich nach was ganz anderem wie zb eingeschleusten viren-dateien, da sollte der regex nicht greifen. hätte auch ne idee wo der fehler liegen könnte grob. gruß duRiel |
Inaktiv |
  |  |
Antworten: 1
Seite [1] |
|
| Sie müssen sich registrieren, um zu antworten. |
