ModSecurity规则214940警告

Question

我刚刚用Plesk把我的网站迁移到了一个新的服务器上。默认在Plesk上启用防火墙(Modsecurity)。但查看日志，我发现这条消息重复了几次：

ModSecurity: Warning. Operator GE matched 4 at TX:outgoing_points.
[file "/etc/apache2/modsecurity.d/rules/comodo_free/20_Outgoing_FiltersEnd.conf"] [line "38"] [id "214940"] [rev "2"] [msg "COMODO WAF: Outbound Points Exceeded|
Total Points: 4|www.domain.com|F|2"] [severity "CRITICAL"] [tag "CWAF"] [tag "FiltersEnd"] [hostname "www.domain.com"] [uri "/index.php"] [unique_id "XomsYjNLwpIAAEgBVSMAAAAA"]

谁能解释一下这是什么意思，以及如何修复它？

Answer 1

将ID id "214940“粘贴到plesk白名单中。这应该可以解决您的问题。此外，这只是一条信息性消息，但我相信规则是在寻找恶意的iFrames“可能是输出中的恶意iframe标签”。这条规则在我的服务器上导致了该输出。

您需要查找事件ID后面带有字母H的条目(在我们的示例中为eece5138-H--)。此条目包含检查HTTP请求时触发的安全规则的ID和描述。

​

​

Answer 2

我在self hosted owncloud上也遇到了同样的问题。已将logs: modsec_audit.log中找到的规则in放入Plesk域配置(Web应用防火墙)。如果不排除此规则，则每次上传到owncloud apache/nginx的文件都会崩溃。