Am o copie a phpMyAdmin pe unul dintre serverele mele într-un subdomeniu „pma” și într-un director din el numit „app” (instalat manual din arhiva zip, nu prin yum), pe care îl folosesc pentru gestionarea DB și funcționa. ok de cateva luni. Acum câteva zile IP-ul meu local a fost blocat în timp ce încercam să mă autent acolo și după multe săpături în urma jurnalului găsit în /var/log/apache2/error_log (am înlocuit IP-ul meu local și domeniul serverului cu <PLACEHOLDER_TEXT> din motive evidente)
[Ven 07 ian 11:37:54.198143 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Acces refuzat cu codul 403 (faza 2). Potrivirea modelului „[\x22'\/`]on[a-z]{1,}?\/{0,}=" la REQUEST_COOKIES:pmaAuth-1. [fișier „/var/cpanel/cwaf/rules/07_XSS_XSS.conf”] [linia „162”] [id „212760”] [rev „2”] [msg „COMODO WAF: IE XSS Filters - Attack Detected.|| www.pma.<NUME_DOMENIU>|F|2"] [severitate „CRITICAL”] [etichetă „CWAF”] [etichetă „XSS”] [nume gazdă „www.pma.<NUME_DOMENIU>”] [uri „/app/themes /pmahomme/img/ajax_clock_small.gif"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], referitor: http://www.pma.<DOMEN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1615.15.11. =1
[Ven 07 ian 11:37:54.198701 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Acces refuzat cu codul 403 (faza 2). Potrivirea modelului „[\x22'\/`]on[a-z]{1,}?\/{0,}=" la REQUEST_COOKIES:pmaAuth-1. [fișier „/var/cpanel/cwaf/rules/07_XSS_XSS.conf”] [linia „162”] [id „212760”] [rev „2”] [msg „COMODO WAF: IE XSS Filters - Attack Detected.|| www.pma.<NUME_DOMENIU>|F|2"] [severitate „CRITIC”] [etichetă „CWAF”] [etichetă „XSS”] [nume gazdă „www.pma.<NUME_DOMENIU>”] [uri „/app/index .php"] [id-unic "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Ven 07 ian 11:37:54.215776 2022] [core:error] [pid 60361] [client <IP_ADDRESS>:60532] AH00124: Solicitarea a depășit limita de 10 redirecționări interne din cauza unei erori de configurare probabile. Utilizați „LimitInternalRecursion” pentru a crește limita dacă este necesar. Utilizați „LogLevel debug” pentru a obține o urmărire inversă., referitor: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Ven 07 ian 11:37:54.235059 2022] [core:error] [pid 60364] [client <IP_ADDRESS>:60535] AH00124: Solicitarea a depășit limita de 10 redirecționări interne din cauza unei erori de configurare probabile. Utilizați „LimitInternalRecursion” pentru a crește limita dacă este necesar. Utilizați „LogLevel debug” pentru a obține un backtrace.
[Ven 07 ian 11:37:54.238782 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Jurnal de audit: Nu s-a blocat mutex global: Permisiune refuzată [nume gazdă " .pma.<NUME_DOMENIU>"] [uri "/home/<NUME_UTILIZATOR>/public_html/index.php"] [codul unic "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Ven 07 ian 11:37:54.238830 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Jurnal de audit: Nu s-a blocat mutex global: Permisiune refuzată [nume gazdă " .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], referitor: http://www.pma.<DOIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Ven 07 ian 11:37:54.244507 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Jurnal de audit: Nu s-a deblocat mutex global: Permisiune refuzată [nume gazdă " .pma.<NUME_DOMENIU>"] [uri "/home/<NUME_UTILIZATOR>/public_html/index.php"] [codul unic "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Ven 07 ian 11:37:54.244559 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Jurnal de audit: Nu s-a deblocat mutex global: Permisiune refuzată [nume gazdă " .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], referitor: http://www.pma.<DOIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
Deși sunt în regulă cu SSH și CLI, nu sunt un administrator de bază de server și mi-a luat ceva timp și ajutor atât de la ISP, cât și de la furnizorul de găzduire pentru a înțelege problema interzicerii IP în CSF/LFD, dar încerc pentru a înțelege problema reală, astfel încât să poată fi evitată în viitor. Poate cineva să descifreze motivul? Mulțumiri!
