[решено] Правило Maldet ModSecurity сообщает о ложном срабатывании, даже если файл в порядке по Maldet

  • Автор темы Tigejerie
  • Обновлено
  • 12, May 2024
  • #1
ОБНОВЛЕНИЕ: Я нашел причину. Мне пришлось удалить эту строку из правила:
SecTmpSaveUploadedFiles включен

Привет,

это правило ModSecurity, которое я нашел и утверждаю, что оно сканирует загрузки файлов веб-сервера с помощью программного обеспечения Malware Detect:
 # Allows non-root users to perform scans. This must be enabled when
# using mod_security2 upload scanning or if you want to allow users
# to perform scans. When enabled, this will populate 'pub/' with user
# owned quarantine, session and temporary paths to facilitate scans.
# [ 0 = disabled, 1 = enabled, disabled by default ]
scan_user_access="1

Код (разметка): Когда я загружаю изображение (обязательно чистое изображение пейзажа природы), ModSecurity останавливает запрос:

 Request:POST /wp-admin/async-upload.php Action Description: Access denied with code 406 (phase 2). Justification: File "/tmp/20190111-110811-XDh5G5teQx0AAHSqbjYAAAAA-file-lw445E" rejected by the approver script "/usr/local/maldetect/modsec.

Код (разметка): Но когда я ОТКЛЮЧАЮ вышеупомянутое правило ModSecurity, развертываю изменения, перезапускаю Apache, загрузка РАБОТАЕТ.

Затем я перехожу в командную строку и проверяю, действительно ли Maldet считает файл вредоносным:
# /usr/local/maldetect/modsec.sh

/home/acctnameздесь/www/wp-content/uploads/2019/01/foto2.jpg

maldet(3065): {scan} устанавливает максимальное время выполнения для списка файлов «найти»: 14400 секунд
1 малдет: ОК

Я проверяю права доступа к файлам, здесь я не уверен, что они верны:
# лс -лха /usr/local/maldetect/modsec.sh

lrwxrwxrwx 1 корень root 11 1 сен 23:56 /usr/local/maldetect/modsec.sh ->ookscan.sh*

В /usr/local/maldetect/conf.maldet есть:
 SecRequestBodyAccess On SecTmpSaveUploadedFiles On SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh" "log,auditlog,deny,severity:2,phase:2,t:none,id:99587,msg:'Malware found by LinuxMalwareDetect.'"

Код (разметка): Значит, правило ModSecurity неверно? Подскажите, пожалуйста, как исправить это правило?

Tigejerie


Рег
01 Jan, 2011

Тем
67

Постов
197

Баллов
552
Тем
403,760
Комментарии
400,028
Опыт
2,418,908

Интересно