Fehlermeldung während mal in der pd-admin Oberfläche rumklickt...

  • moin


    v4.86

    7-0.389


    ich habe mein neuen Server noch nicht viel testen können und hatte heute mal neue Domain angelegt. Die auch frisch registriert war

    dann bin ich unter Endkunen -> Verwalten ->Ins Kundenmenü gegangen


    erstes was mir aufgefallen ist meckerte es ganz oben über veraltete php version. Obwohl es beim Server phph8 eingestellt ist/war

    Kundeneinstellung war erst mal beide auf Default

    so weit so gut, kann man ja auf php8 setzen wenn er es noch mal explizit haben will


    dann weiter überall rum geklickt und alles angeguckt und auf ein mal die Fehlermeldung

    Code
    Unauthorized
    
    This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.


    wo kommt das her?

    warum kommt es?


    habe hier eine vermuttung das es von Web-Application Firewall kommt

    aber warum und warum so schnell.

    kann man es noch irgendwie feintunen?

  • Wenn es vom der WAF kommt, sollten entsprechende Einträge im Log zu finden sein. Da würde ich zuerst einmal schauen.

    ja, gibt es auch. aus dem error_log, so was wie das
    habe teile raus kopiert


    Code
    ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at USER:bf_block. [file "/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf"]
    msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.

    so weit so gut. in dem ordner /usr/local/pd-admin2/httpd-2.4/conf/rules.d/ sind 4 dateien, alle haben aber ein eintrag das man es nicht ändern soll

    wo kommen die werte dann her?


    habe heute noch mal probiert und nach paar klicks wird man dann auch für eine weil gesperrt. ist das zu fein eingestellt?

    hat sonst keiner damit probleme?

  • Im Error stehen bei Wordpress-Update oder Zugriffen solche Einträge. Und sperrt die Nutzer von ihrer Wordpress-Installation aus.

    Kann man das irgendwie feintunen?


    Code
    [Tue Oct 26 05:58:55.734451 2021] [:error] [pid 3762892:tid 140422324303616] [client 80.138.154.31:54565] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd8_1ajfXgpdtscR7mymAAEChI"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 05:59:26.765206 2021] [:error] [pid 3762893:tid 140422223591168] [client 80.138.154.31:50211] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9Hr8R0hcBCUJM9XPFVAAEggY"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
    [Tue Oct 26 06:00:56.745566 2021] [:error] [pid 3766392:tid 140422231983872] [client 80.138.154.31:53181] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9eHo3SZE2ch_ZSig-sAAFFwc"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 06:01:27.737897 2021] [:error] [pid 3766418:tid 140422265554688] [client 80.138.154.31:52938] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9l9UaQV851W6PHbtAvQAFkgs"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
  • Sofern dies durch die WAF kommt, sollten sich Einträge im Log finden. Dort ist dann auch der Pfad mit angegeben.


    Die Filterregeln für pd-admin2 finden sich hier:

    Code
    $ ls /usr/local/pd-admin2/httpd-2.4/conf/rules.d
    002-pda-protect-customer-login.conf  004-wordpress-login.conf
    003-pda-protect-pop3-login.conf      006-wordpress-xmlrpc.conf