Maldetect fazendo varredura no upload

[redirect]

Como eu uso as regras da comodo o arquivo modsec2.user.conf não é chamado então fiz o seguinte:

 

1) Criei o arquivo modsec2.maldet.conf com o conteúdo do README

2) No arquivo modsec2.conf adicionei um: Include "/usr/local/apache/conf/modsec2.maldet.conf"

 

Fiz tudo da forma que você citou e deu o erro (mesmo acima):

Configuration problem detected on line 3 of file /usr/local/apache/conf/modsec2.maldet.conf:    ModSecurity: No action id present within the rule

    --- /usr/local/apache/conf/modsec2.maldet.conf ---
    1SecRequestBodyAccess On
    2SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh" \
    3 ===> "log,auditlog,deny,severity:2,phase:2,t:none" <===
    --- /usr/local/apache/conf/modsec2.maldet.conf ---



Syntax error on line 3 of /usr/local/apache/conf/modsec2.maldet.conf:
ModSecurity: No action id present within the rule

[Jesmarcelo]

SecRequestBodyAccess On
SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh"
                "log,auditlog,deny,severity:2,phase:2,t:none,id:011"

[redirect]

SecRequestBodyAccess On

SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh"

                "log,auditlog,deny,severity:2,phase:2,t:none,id:011"

 

Agora deu o seguinte erro:

Configuration problem detected on line 2 of file /usr/local/apache/conf/modsec2.maldet.conf:	ModSecurity: Rules must have at least id action

	--- /usr/local/apache/conf/modsec2.maldet.conf ---
	1SecRequestBodyAccess On
	2 ===> SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh" <===
	3                "log,auditlog,deny,severity:2,phase:2,t:none,id:011"
	--- /usr/local/apache/conf/modsec2.maldet.conf ---



Syntax error on line 2 of /usr/local/apache/conf/modsec2.maldet.conf:
ModSecurity: Rules must have at least id action

Essa id tem haver com as regras da comodo?

[redirect]

SecRequestBodyAccess On

SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh"

                "log,auditlog,deny,severity:2,phase:2,t:none,id:011"

 

Faltou a "/" no final da segunda linha. Agora deu certo (pelo menos o apache reiniciou sem dar erros. Poderia me mandar por MP um TXT de um arquivo infectado para que eu possa testar? Obrigado jesmarcelo!!!

[Thiago Sabaia]

Faltou a "/" no final da segunda linha. Agora deu certo (pelo menos o apache reiniciou sem dar erros. Poderia me mandar por MP um TXT de um arquivo infectado para que eu possa testar? Obrigado jesmarcelo!!!

 

Esse site aqui oferece um arquivo de teste http://www.eicar.org/86-0-Intended-use.html

 

@Jesmarcelo Houve aumento no load?

[Jesmarcelo]

Esse site aqui oferece um arquivo de teste http://www.eicar.org/86-0-Intended-use.html

 

@Jesmarcelo Houve aumento no load?

 

Existe alguns malwares espalhados pela internet, não postei o link aqui por ser contra as regras...

[Thiago Sabaia]

Existe alguns malwares espalhados pela internet, não postei o link aqui por ser contra as regras...

 

esse e apenas de teste, acredito que não seja contra as regras. Inclusive descobri ele aqui no fórum, só não lembro em qual post.

[Jesmarcelo]

Este link de teste realmente não é contra as regras, o que eu tinha não era teste, era php.shell por isso não postei...

[redirect]

Esse site aqui oferece um arquivo de teste http://www.eicar.org/86-0-Intended-use.html

 

@Jesmarcelo Houve aumento no load?

 

Testei gerando um arquivo com o extensão php e não acusou erro no upload para o servidor.

 

Este link de teste realmente não é contra as regras, o que eu tinha não era teste, era php.shell por isso não postei...

 

Não consegui baixar, o Chrome não deixou e bloqueou. Aquele "id:011" que você adicionou na última linha se refere a quê? Será que é específico para quem usa as regras da comodo (eu não uso)?

[Jesmarcelo]

O id é especifico para quem usa regras da comodo.

 

Se não é contra as regras então.... http://r57.gen.tr/