Občas můžete v apache-error.logu například tuto hlášku:
[Wed Nov 05 12:38:21.994180 2022] [-:error] [pid 3258844:tid 139935151527488 ] [client [IP_REDACTED]:57204] [[HOST_REDACTED]] [[HOST_REDACTED]] [client [IP_REDACTED]] ModSecurity: Warning. Matched phrase „=“ at ARGS:post_data. [file „/etc/modsecurity/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf“] [line „131“] [id „933120“] [msg „PHP Injection Attack: Configuration Directive Found“] [data „Matched Data: [POST_DATA_REDACTED]“] [severity „CRITICAL“] [ver „OWASP_CRS/3.3.5“] [tag „application-multi“] [tag „language-php“] [tag „platform-multi“] [tag „attack-injection-php“] [tag „paranoia-level/1“] [tag „OWASP_CRS“] [tag „capec/1000/152/242“] [hostname „[HOST_REDACTED]“] [uri „/“] [unique_id „[UNIQUE_ID_REDACTED]“], referer [REFERER_REDACTED]
Dle toho si zákazníci myslí, že došlo k blokaci, ovšem není to tak, jelikož „ModSecurity: Warning“ říká, že se jedná pouze o detekci, tedy že plugin běží v režimu „DetectionOnly“ a neprovádí blokaci, ale pouze detekci.
Nejedná se tedy o vadu, ani blokaci. Nemusíte mít obavy, je to běžná detekce, která nám pomůže lépe rozeznat případné hrozby od reálných zákazníků při krizové situaci.
Reální blokace by vypadala například takto:
[Wed Nov 05 13:22:16.664846 2022] [-:error] [pid 3158508:tid 139936158160448 ] [client [IP_REDACTED]:37568] [[HOST_REDACTED]] [[HOST_REDACTED]] [client [IP_REDACTED]] ModSecurity: Access denied with code 403 (phase 1). String match „perl.alfa“ at REQUEST_URI. [file „[FILE_REDACTED]“] [line „32“] [id „300“] [msg „PerlAlfaAttack“] [hostname „[HOST_REDACTED]“] [uri „[URI_REDACTED]“] [unique_id „[UNIQUE_ID_REDACTED]“]