Lia*_*son 2 mod-security mod-security2
我正在使用mod_security 2.6.3,我希望能够基于规则严重性级别执行shell脚本.我正在使用核心规则集(CRS),它在检测到攻击时将严重性级别设置为2(对于"严重").
我想在严重程度足够高时执行我的脚本.
我尝试使用该SecDefaultAction设置,例如:
SecDefaultAction "phase:2,log,deny,status:403,exec:/path/to/my/script"
但是,由于'exec'动作是一种"非破坏性"动作,它总是会被执行,无论是关键规则还是非关键规则都是如此.
我可以通过每个批评SecRule并在它旁边添加"exec",但这将是乏味的(并且重复,丑陋).
我以为我可以这样做:
SecRule ENV:SEVERITY "@lt 4" "exec:/path/to/my/script"
但不知怎的,它永远不会被执行,可能是因为关键规则有一个阻止或拒绝语句,它会停止规则处理(因为被认为具有破坏性).
我也尝试过使用CRS异常评分功能,如下所示:
SecRule TX:ANOMALY_SCORE "@ge 4" "exec:/path/to/my/script"
但它仍然没有得到处理.有关如何做到这一点的任何想法?
您可以使用HIGHEST_SEVERITY变量来测试它,例如:
SecRule HIGHEST_SEVERITY "@le 5" "nolog,pass,exec:/path/to/your/script"
请注意nolog,pass将从更改严重性级别的规则保留原始日志消息的其他参数.
另外,我建议您在.conf文件中尽早放置此条件(例如,在您的SecDefaultAction行之后),以确保它包含在所有上下文中.
另一种方法是在SecDefaultAction中使用自定义HTTP响应状态代码(例如,418"我是一个茶壶")并在记录阶段根据它触发您的条件(一旦默认操作已经处理):
# On error, log then deny request with "418 I'm a teapot":
SecDefaultAction "phase:2,log,deny,status:418"
# On HTTP response status code 418, execute your script:
SecRule RESPONSE_STATUS "^418$" "phase:5,nolog,pass,exec:/path/to/your/script"
| 归档时间: |
|
| 查看次数: |
2025 次 |
| 最近记录: |