Regras Grátis Mod Security - Waf Comodo P/ Cpanel

[chuvadenovembro]

Lá no plugin do cwaf eu coloco isso em exclude lists

 

 

<LocationMatch .*>

  SecRuleRemoveById 220020

</LocationMatch>

 

E como uso cmc também, coloco apenas o numero da regra em global whitelist

 

220020

 

E uso essa linha adicional em modsec2.conf

 

 

Include "/usr/local/apache/conf/modsec2.whitelist.conf"

[Fernando Rafs]

Lá no plugin do cwaf eu coloco isso em exclude lists

 

 

E como uso cmc também, coloco apenas o numero da regra em global whitelist

 

220020

 

E uso essa linha adicional em modsec2.conf

 

Valeu Chuva, agora ficou show de bola. Não estava utilizando o include em modsec2.

 

Referente ao plugin, estou monitorando os logs, e realmente está cumprindo o que promete, bloqueando e até o presente momento sem falso positivo e ou reclamação de algum cliente. Em 2 servidores existem milhares de instalações Wordpress/Joomla/CMS e tudo Ok.

[Fernando Rafs]

Lá no plugin do cwaf eu coloco isso em exclude lists

 

 

E como uso cmc também, coloco apenas o numero da regra em global whitelist

 

220020

 

E uso essa linha adicional em modsec2.conf

 

Chuva desculpe estar voltando ao assunto!

 

Estou tendo um problema com esta bendita regra '220020', mesmo adicionando no CMC e no WAF ainda continuo recebendo o erro:

 

 

----

www.DOMINIO.com    109.93.110.247    unknown    [01/Feb/2014:16:50:22 --0200]

Rule 1dfeb270 [id "220020"][file "/var/cpanel/cwaf/rules/cwaf_05.conf"][line "55"] - Execution error - PCRE limits exceeded (-8): (null).

----

 

E no fórum da Comodo ví que você teve um problema parecido:

 

- http://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall/false-positive-id-20020-execution-error-pcre-limits-exceeded-on-whmcs-pages-t100731.0.html

 

Conseguiu resolver? Mesmo adicionando a regra não está funcionando.

 

Valeu.

[Jesmarcelo]

Chuva desculpe estar voltando ao assunto!

 

Estou tendo um problema com esta bendita regra '220020', mesmo adicionando no CMC e no WAF ainda continuo recebendo o erro:

 

 

----

www.DOMINIO.com    109.93.110.247    unknown    [01/Feb/2014:16:50:22 --0200]

Rule 1dfeb270 [id "220020"][file "/var/cpanel/cwaf/rules/cwaf_05.conf"][line "55"] - Execution error - PCRE limits exceeded (-8): (null).

----

 

E no fórum da Comodo ví que você teve um problema parecido:

 

- http://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall/false-positive-id-20020-execution-error-pcre-limits-exceeded-on-whmcs-pages-t100731.0.html

 

Conseguiu resolver? Mesmo adicionando a regra não está funcionando.

 

Valeu.

Já tive este problemas ao trabalhar com as regras da Atomic e resolvi adicionando as linhas abaixo nas configurações:

 

SecPcreMatchLimit 150000

SecPcreMatchLimitRecursion 150000

[chuvadenovembro]

 

 

SecPcreMatchLimit 150000

SecPcreMatchLimitRecursion 150000

 

No meu caso,

 

Mesmo aumentando esse limite eu continuo recebendo esse aviso de erro, como não influenciou no desempenho dos sites, eu ainda não testei mais nada p/ ver se resolve de forma definitiva.

[Fernando Rafs]

Já tive este problemas ao trabalhar com as regras da Atomic e resolvi adicionando as linhas abaixo nas configurações:

 

SecPcreMatchLimit 150000

SecPcreMatchLimitRecursion 150000

 

No meu caso,

 

Mesmo aumentando esse limite eu continuo recebendo esse aviso de erro, como não influenciou no desempenho dos sites, eu ainda não testei mais nada p/ ver se resolve de forma definitiva.

 

Então Jesmarcelo/Chuva eu também já tinha configurado no 'modsec2.user.conf' estas linhas, porém para a regra '220020' da Comodo, esta configuração não funciona.

 

Observando o arquivo 'modsec2.conf' já existe também configurado (conforme abaixo), inclusive com um valor maior, mas parece não funcionar também (Estou testando ainda)

 

---

SecPcreMatchLimit 250000

SecPcreMatchLimitRecursion 250000

---

 

Mas adicionando a regra '220020' no CMC e no exclude do WAF, não era para resolver o problema com esta regra? Ou mesmo adicionando a regra, ela ainda é processada?

 

Nota 1: Removi a configuração 'SecPcreMatchLimit e SecPcreMatchLimitRecursion' do arquivo 'modsec2.user.conf', deixando apenas a padrão do 'modsec2.conf' e até agora não recebi mais alertas, mas estou monitorando o log para ver se realmente funcionou.

 

Nota 2: Não lembro onde, mas creio que já lí em algum lugar que deixando muito alto as configurações SecPcreMatchLimit e SecPcreMatchLimitRecursion podemos ter sobrecarga, não sei se a informação procede ou não, estou até vendo a respeito neste momento.

[Fernando Rafs]

Então Jesmarcelo/Chuva eu também já tinha configurado no 'modsec2.user.conf' estas linhas, porém para a regra '220020' da Comodo, esta configuração não funciona.

 

Observando o arquivo 'modsec2.conf' já existe também configurado (conforme abaixo), inclusive com um valor maior, mas parece não funcionar também (Estou testando ainda)

 

---

SecPcreMatchLimit 250000

SecPcreMatchLimitRecursion 250000

---

 

Mas adicionando a regra '220020' no CMC e no exclude do WAF, não era para resolver o problema com esta regra? Ou mesmo adicionando a regra, ela ainda é processada?

 

Nota 1: Removi a configuração 'SecPcreMatchLimit e SecPcreMatchLimitRecursion' do arquivo 'modsec2.user.conf', deixando apenas a padrão do 'modsec2.conf' e até agora não recebi mais alertas, mas estou monitorando o log para ver se realmente funcionou.

 

Nota 2: Não lembro onde, mas creio que já lí em algum lugar que deixando muito alto as configurações SecPcreMatchLimit e SecPcreMatchLimitRecursion podemos ter sobrecarga, não sei se a informação procede ou não, estou até vendo a respeito neste momento.

 

 

Nada funciona para esta bendita regra, configurando ou não configurando 'SecPcreMatchLimit e SecPcreMatchLimitRecursion' o erro 'Execution error - PCRE limits exceeded (-8): (null)' continua.

 

Creio que vou desabilitar esta regra diretamente no arquivo 'file "/var/cpanel/cwaf/rules/cwaf_05.conf'.

 

Se alguém conseguir achar uma solução melhor e puder compartilhar, agradeço :D

[chuvadenovembro]

Achei curioso que lá no forum do comodo ninguem + comentou sobre ela depois da atualização 0.35

 

Sugiro que comente algo lá também sobre isso, com isso, eles devem continuar trabalhando em cima dela.

[Fernando Rafs]

Achei curioso que lá no forum do comodo ninguem + comentou sobre ela depois da atualização 0.35

 

Sugiro que comente algo lá também sobre isso, com isso, eles devem continuar trabalhando em cima dela.

 

Creio que a maioria deve estar com este problema, ou somos privilegiados. :D

 

Sim, vou criar uma conta e comentar, já enviei um Feedback pelo WAF também, informando a regra e o erro.

 

Se eu achar algo para correção, postarei aqui!

[Fernando Rafs]

Fala pessoal!

 

Para quem está utilizando as regras da Comodo a regra 211181 está causando falso positivo para os clientes que utilizam o Interspire Shopping Cart Software, bloqueando o IP do cliente no CSF por XSS Attack.

 

Já notifiquei a Comodo a respeito.

 

Atualizando!

 

A regra 211085 também está causando falso positivo para alguns scripts PHP, de postagem de vídeos do Youtube ou 'Blocking remote inclusion in arguments'. A comodo também já foi notificada.

 

Seria interessante quem estiver utilizando e quem vier a utilizar, ao identificar um falso positivo postar aqui para a galera e notificar a Comodo para que as regras fiquem cada vez melhores, sem tanto falso positivo.

Editado Fevereiro 4, 2014 por Guto