Fehlermeldung während mal in der pd-admin Oberfläche rumklickt...

  • moin


    v4.86

    7-0.389


    ich habe mein neuen Server noch nicht viel testen können und hatte heute mal neue Domain angelegt. Die auch frisch registriert war

    dann bin ich unter Endkunen -> Verwalten ->Ins Kundenmenü gegangen


    erstes was mir aufgefallen ist meckerte es ganz oben über veraltete php version. Obwohl es beim Server phph8 eingestellt ist/war

    Kundeneinstellung war erst mal beide auf Default

    so weit so gut, kann man ja auf php8 setzen wenn er es noch mal explizit haben will


    dann weiter überall rum geklickt und alles angeguckt und auf ein mal die Fehlermeldung

    Code
    Unauthorized
    
    This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.


    wo kommt das her?

    warum kommt es?


    habe hier eine vermuttung das es von Web-Application Firewall kommt

    aber warum und warum so schnell.

    kann man es noch irgendwie feintunen?

  • Wenn es vom der WAF kommt, sollten entsprechende Einträge im Log zu finden sein. Da würde ich zuerst einmal schauen.

    ja, gibt es auch. aus dem error_log, so was wie das
    habe teile raus kopiert


    Code
    ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at USER:bf_block. [file "/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf"]
    msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.

    so weit so gut. in dem ordner /usr/local/pd-admin2/httpd-2.4/conf/rules.d/ sind 4 dateien, alle haben aber ein eintrag das man es nicht ändern soll

    wo kommen die werte dann her?


    habe heute noch mal probiert und nach paar klicks wird man dann auch für eine weil gesperrt. ist das zu fein eingestellt?

    hat sonst keiner damit probleme?

  • Im Error stehen bei Wordpress-Update oder Zugriffen solche Einträge. Und sperrt die Nutzer von ihrer Wordpress-Installation aus.

    Kann man das irgendwie feintunen?


    Code
    [Tue Oct 26 05:58:55.734451 2021] [:error] [pid 3762892:tid 140422324303616] [client 80.138.154.31:54565] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd8_1ajfXgpdtscR7mymAAEChI"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 05:59:26.765206 2021] [:error] [pid 3762893:tid 140422223591168] [client 80.138.154.31:50211] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9Hr8R0hcBCUJM9XPFVAAEggY"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
    [Tue Oct 26 06:00:56.745566 2021] [:error] [pid 3766392:tid 140422231983872] [client 80.138.154.31:53181] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9eHo3SZE2ch_ZSig-sAAFFwc"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 06:01:27.737897 2021] [:error] [pid 3766418:tid 140422265554688] [client 80.138.154.31:52938] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9l9UaQV851W6PHbtAvQAFkgs"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
  • Sofern dies durch die WAF kommt, sollten sich Einträge im Log finden. Dort ist dann auch der Pfad mit angegeben.


    Die Filterregeln für pd-admin2 finden sich hier:

    Code
    $ ls /usr/local/pd-admin2/httpd-2.4/conf/rules.d
    002-pda-protect-customer-login.conf  004-wordpress-login.conf
    003-pda-protect-pop3-login.conf      006-wordpress-xmlrpc.conf
  • Hallo,


    ich habe den Fehler im pd-admin Backend erhalten

    Als Admin eingeloggt -> User gesucht -> Ins Kundenmenü -> Dateimanager

    hier kam ein Fehler da die Dateiberechtigungen nicht stimmen, Dateiberechtigungen dann gefixt und dann ein Verzeichnis geschützt.

    Direkt beim Speichern wurde ich dann geblockt


    Code
    [Wed Mar 02 17:15:23.756142 2022] [:error] [pid 4520:tid 139909455300352] [client 91.5.255.244:35832] [client 91.5.255.244] ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at USER:bf_block. [file "/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf"] [line "9"] [id "7"] [msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes."] [hostname "s3.HOST.de"] [uri "/customer/sid/e2961f62d0225b05fff11111111111111111111111111111/customer.cgi"] [unique_id "Yh-YG5W_RuP1b-AAAAAAAAAAAAA"], referer: https://s3.HOST.de/customer/sid/e2961f62d0225b05fff11111111111111111111111111111/customer.cgi?todo=webftp.main&folder=%2Fhome%2FUSER%2Fwww.DOMAIN.TLD/save
    
    [Wed Mar 02 17:15:43.822031 2022] [:error] [pid 4520:tid 139909455300352] [client 91.5.255.244:35838] [client 91.5.255.244] ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at USER:bf_block. [file "/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf"] [line "9"] [id "7"] [msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes."] [hostname "s3.HOST.de"] [uri "/customer/sid/2f981f620e265b05fff22222222222222222222222222222/customer.cgi"] [unique_id "Yh-YL5W_RuP1b-CCCCCCCCCCCCC"], referer: https://s3.HOST.de/administrator/sid/b0961f62c2205b05fff77777777777777777777777777777/administrator.cgi?lang=de&todo=customers.administrate.print&customerid=3

    die erste Zeile kam direkt im Customer-Bereich, die 2 Zeile, nachdem ich danach erneut über den Admin-Bereich in den Customer-Bereich wollte.

  • Offenbar ist auf dem Server die WAF aktiv. Dazu dann die Regeln für pd-admin, was letztlich zu dem Verhalten bzw. der Meldung führte. Eventuell sind die Regeln unter


    /usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf


    zu scharf oder ungenau definiert. Vermutlich hilft da erst einmal etwas testen mit geänderten Regeln.

  • Offenbar ist auf dem Server die WAF aktiv. Dazu dann die Regeln für pd-admin, was letztlich zu dem Verhalten bzw. der Meldung führte. Eventuell sind die Regeln unter


    /usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf


    zu scharf oder ungenau definiert. Vermutlich hilft da erst einmal etwas testen mit geänderten Regeln.

    und da sind wir wirder da angekommen wo wir schon mal waren, den in der datei steht man soll da dran nicht rum fummeln:

    daraus resultiert mal wieder die frage, wo soll man den die werte einstellen?

    die frage hatte ich schon gestellt und keine antwort darauf bekommen :(

  • Heute kam wieder ein Anruf von einem Kunden, er erhält im Kundenbereich nur noch eine Fehlermeldung - ein Blick ins Log zeigte, er wurde geblockt


    Ich sagte ihm, er müsse kurz warten, dann sollte es wieder funktionieren.

    Nach ca. 10 Minuten rief er erneut an, er ist wohl schon wieder gesperrt!


    Was soll das?! :thumbdown:

  • Einfachste Alternative ist wohl die PDA Regeln zu kopieren und manuell in das Template der httpd.conf einzubinden. Dann kann man gefahrlos die Einstellungen anpassen und testen. Wenn dies ausreichend getestet würde, ergäben sich sicher praxisnahe Werte. Was wiederum ein wertvolles Feedback wäre.

  • Das leidige Problem besteht nach 1,5 Jahren immer noch …


    Als Admin eingeloggt -> User gesucht -> Ins Kundenmenü -> DKIM aktiviert bei einer Domain aktiviert -> Sperre

    Code
    [Wed May 31 08:08:42.399478 2023] [security2:error] [pid 3553227:tid 139922010195712] [remote 2003:ca:570a:XXX:XXX:XXX:XXX:XXX:XXX] [client 2003:ca:570a:XXX:XXX:XXX:XXX:XXX] ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at USER:bf_block. [file "/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf"] [line "9"] [id "7"] [msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes."] [hostname "XXX-XXX.de"] [uri "/customer/sid/6aXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX1e/customer.cgi"] [unique_id "ZHXXXXXXXXXXXXXXXXXXXXXXXQM"], referer: https://XXX-XXX.de/administrator/sid/5eXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX2c/administrator.cgi?lang=de&todo=customers.administrate.print&customerid=24