modsecurity inbound_anomaly_score

Question

我从web服务器获得了这个错误--这是已知的问题。谷歌上有很多问题--但解决方案不明确。

[error] [client ] ModSecurity: Warning. Operator LT matched 20 at TX:inbound_anomaly_score. [file "/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_60_correlation.conf"] [line "31"] [msg "Inbound Anomaly Score (Total Inbound Score: 5, SQLi=, XSS=): Host header is a numeric IP address"] [hostname ""]

Answer 1

您是通过IP而不是DNS访问计算机吗？如果是这样的话，这就是设计的行为，因为mod_security在响应通过IP访问的机器时输出此消息。如果不希望出现错误，可以注释掉错误中列出的文件中的规则。

对于一些背景信息，该规则在默认配置中存在的原因是，在大多数网站中，您都有一个与DNS相关的名称。所以你的客户群应该使用这个名字。许多恶意的机器人喜欢“攻击”或找到易受攻击的机器，只需在IP范围内递增即可。通过在一开始就阻止IP的这些请求，您可以说降低了风险。确保在更改后重新启动Apache。

Answer 2

另一个场景是让LYNX执行一些crontab作业。lynx被认为是默认包含规则的“网站爬虫”，只需禁用它即可。

祝好运

Answer 3

约书亚·恩菲尔德很好地解释了这个问题，如果您想使用直接IP地址访问服务器，可以禁用在文件夹中使用mod_security2规则创建新的.conf文件的规则：

modsecurity_crs_21_protocol_anomalies_customrules.conf SecRuleRemoveById 960017

您可以使用SecRuleRemoveById删除规则或在原始文件中注释它：

Foundation/Apache2.2/conf/modsecurity“_crs/base_ /Apache软件文件"C:/Program _21_协议_noralies.conf“ id“960017”

第一个选项应该更好，因为您将知道什么规则是禁用的，并在最后有更多的控制。

我上面给出的示例使用了最新的OWASP规则2.2.7。

*还请记住，禁用规则可能不是解决问题的最佳方法，一旦您理解并测试了该规则，就应该再次启用该规则。解决这个问题的另一个方法是为您的IP提供免费的dns重定向服务，并使用新的域名从internet访问您的服务器：

• http://freedns.afraid.org
• http://www.noip.com