Ложное срабатывание

MaxRAF

Member
Здравствуйте.

После установки WAF и добавления модуля с параметрами в nginx.conf нарушилась работа phpMyAdmin - не работал localhost при подключении к БД (и phpmyadmin).

Bash:
2020/10/14 17:31:40 [error] 5248#5248: *836 Nemesida WAF: the request b67797a35d607ff0e05151cad2417885 blocked by rule ID 1843 in zone URL, client: 193.xx.xx.198, server: localhost, request: "GET /phpmyadmin/ HTTP/1.0", host: "193.xx.xx.201"

Где client: 193.xx.xx.198 - хост с установленным ISPmanager, а host: "193.xx.xx.201" - хост с phpMyAdmin. Оба хоста состоят в одном кластере.
 

support

Well-known member
Staff member
Добрый день,

вам требуется настроить правила исключения для этого виртуального хоста по инструкции https://waf.pentestit.ru/manuals/1304#rules. Это специфическое веб-приложение (происходит передача запросов, которые в обычных условиях являются эксплуатацией уязвимостей) и стандартные правила будут его блокировать.
 

MaxRAF

Member
Здравствуйте.

Правильное ли исключение я составил? WL ID:1843 domain=localhost "Z:URL";
 

rr

Administrator
Здравствуйте.

Правильное ли исключение я составил? WL ID:1843 domain=localhost "Z:URL";

Правило составлено верно. Кроме этого, в ЛК при клике на блокировку можно получить готовое правило исключение.

1602757024841.png
 

MaxRAF

Member
Спасибо. Если вы о ЛК, который устанавливается с WAF и который не работает, то я уже третий день жду в соседней теме, когда вы ответите.
 

MaxRAF

Member
Здравствуйте. В conf/global/nwaf.conf в самое начало файла добавляю WL ID:1843 domain=localhost "Z:URL";, перезапускаю systemctl restart nginx.service nwaf_update.service, но всё равно правило срабатывает.
 

support

Well-known member
Staff member
Здравствуйте. В conf/global/nwaf.conf в самое начало файла добавляю WL ID:1843 domain=localhost "Z:URL";, перезапускаю systemctl restart nginx.service nwaf_update.service, но всё равно правило срабатывает.

Добрый день,

добавьте пожалуйста в ваш файл /etc/nginx/nwaf/conf/global/nwaf.conf параметр nwaf_log_mr_all; и пришлите пожалуйста ваш error лог после воспроизведения проблемы.
 

MaxRAF

Member
Вот пожалуйста
Bash:
2020/10/28 06:08:58 [notice] 1633#1633: signal process started
2020/10/28 06:08:58 [error] 1634#1634: Nemesida WAF Free activated
2020/10/28 06:09:36 [error] 1634#1634: *328471 Nemesida WAF: (nwaf_log_mr_all) the request d50fc92377981838ac2aa425e8b9b608 contains rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/ HTTP/1.0", host: "xx.xx.xx.199", referrer: "https://cp198.mydomain.ru:1500/mancgi/dbadmin_pro?elid=btrx012447_sns-%3Emysql-%3Ebtrx012447&plid="
2020/10/28 06:09:36 [error] 1634#1634: *328471 Nemesida WAF: the request d50fc92377981838ac2aa425e8b9b608 blocked by rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/ HTTP/1.0", host: "xx.xx.xx.199", referrer: "https://cp198.mydomain.ru:1500/mancgi/dbadmin_pro?elid=btrx012447_sns-%3Emysql-%3Ebtrx012447&plid="
 

rr

Administrator
Вот пожалуйста
Bash:
2020/10/28 06:08:58 [notice] 1633#1633: signal process started
2020/10/28 06:08:58 [error] 1634#1634: Nemesida WAF Free activated
2020/10/28 06:09:36 [error] 1634#1634: *328471 Nemesida WAF: (nwaf_log_mr_all) the request d50fc92377981838ac2aa425e8b9b608 contains rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/ HTTP/1.0", host: "xx.xx.xx.199", referrer: "https://cp198.mydomain.ru:1500/mancgi/dbadmin_pro?elid=btrx012447_sns-%3Emysql-%3Ebtrx012447&plid="
2020/10/28 06:09:36 [error] 1634#1634: *328471 Nemesida WAF: the request d50fc92377981838ac2aa425e8b9b608 blocked by rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/ HTTP/1.0", host: "xx.xx.xx.199", referrer: "https://cp198.mydomain.ru:1500/mancgi/dbadmin_pro?elid=btrx012447_sns-%3Emysql-%3Ebtrx012447&plid="

а если так:
WL ID:1843 "Z:URL";

не блокируется?
 

MaxRAF

Member
а если так:
WL ID:1843 "Z:URL";

не блокируется?

Так не блокируется

Code:
2020/10/29 02:49:56 [error] 5892#5892: *403983 Nemesida WAF: (nwaf_log_mr_all) the request e4ff75aae489036560adf4e2f8235d77 contains rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "GET /phpmyadmin/js/get_scripts.js.php?scripts%5B%5D=common.js&scripts%5B%5D=codemirror/lib/codemirror.js&scripts%5B%5D=codemirror/mode/sql/sql.js&scripts%5B%5D=codemirror/addon/runmode/runmode.js&scripts%5B%5D=codemirror/addon/hint/show-hint.js&scripts%5B%5D=codemirror/addon/hint/sql-hint.js&scripts%5B%5D=console.js&scripts%5B%5D=config.js HTTP/1.0", host: "xx.xx.xx.199"
2020/10/29 02:49:56 [error] 5892#5892: *403983 Nemesida WAF: WL was applied to RL ID 1843, client: xx.xx.xx.198, server: localhost, request: "GET /phpmyadmin/js/get_scripts.js.php?scripts%5B%5D=common.js&scripts%5B%5D=codemirror/lib/codemirror.js&scripts%5B%5D=codemirror/mode/sql/sql.js&scripts%5B%5D=codemirror/addon/runmode/runmode.js&scripts%5B%5D=codemirror/addon/hint/show-hint.js&scripts%5B%5D=codemirror/addon/hint/sql-hint.js&scripts%5B%5D=console.js&scripts%5B%5D=config.js HTTP/1.0", host: "xx.xx.xx.199"
2020/10/29 02:49:56 [error] 5892#5892: *403988 Nemesida WAF: (nwaf_log_mr_all) the request 2b2928fcff3a61baaebcb172a51b9988 contains rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/navigation.php?ajax_request=1&token=85a3c85040963eb4345103b3bc107d2e HTTP/1.0", host: "xx.xx.xx.199"
2020/10/29 02:49:56 [error] 5892#5892: *403988 Nemesida WAF: (nwaf_log_mr_all) the request 2b2928fcff3a61baaebcb172a51b9988 contains rule ID 1843 in zone URL, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/navigation.php?ajax_request=1&token=85a3c85040963eb4345103b3bc107d2e HTTP/1.0", host: "xx.xx.xx.199"
2020/10/29 02:49:56 [error] 5892#5892: *403988 Nemesida WAF: WL was applied to RL ID 1843, client: xx.xx.xx.198, server: localhost, request: "POST /phpmyadmin/navigation.php?ajax_request=1&token=85a3c85040963eb4345103b3bc107d2e HTTP/1.0", host: "xx.xx.xx.199"
 

support

Well-known member
Staff member
Добрый день,

по вашим логам у вас в запросе значение server отличается от значения поля host. Nemesida WAF при применении правил исключения учитывает поле host из запроса. Рекомендуем вам настроить в вашем виртуальном хосте параметр server_name и указать его в правиле исключения.
 

MaxRAF

Member
Здравствуйте.

Масса очередных ложных срабатываний. Клиент в WP пытается создать страницу или отредактировать старую и получает 403.
IMG-20201102-095016-329.png
 

support

Well-known member
Staff member
Здравствуйте.

Масса очередных ложных срабатываний. Клиент в WP пытается создать страницу или отредактировать старую и получает 403.
IMG-20201102-095016-329.png

Добрый день,

WAF обнаружил действия, свойственные атаке на WEB-приложение. Если это редактор, которому вы можете доверять, внесите его IP-адрес в список исключений (опция nwaf_ip_wl). При помощи модуля Nemesida WAF Signtest подобного рода действия также можно добавлять в список исключений.
 
Top