Tôi có một bản sao của phpMyAdmin trên một trong các máy chủ của mình trong tên miền phụ 'pma' và bên trong một thư mục có tên 'ứng dụng' (được cài đặt thủ công từ kho lưu trữ zip, không phải qua yum), mà tôi sử dụng để quản lý liên quan đến DB và nó đã hoạt động ok trong vài tháng. Một vài ngày trước, IP cục bộ của tôi đã bị chặn khi cố gắng đăng nhập vào đó và sau khi đào sâu, nhật ký sau được tìm thấy trong /var/log/apache2/error_log (đã thay thế miền máy chủ và IP cục bộ của tôi bằng <PLACEHOLDER_TEXT> vì những lý do rõ ràng)
[Thứ Sáu ngày 07 tháng 1 11:37:54.198143 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Truy cập bị từ chối với mã 403 (giai đoạn 2). Khớp mẫu "[\x22'\/`]on[a-z]{1,}?\/{0,}=" tại REQUEST_COOKIES:pmaAuth-1. [tệp "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [dòng "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: Bộ lọc XSS của IE - Đã phát hiện tấn công.|| www.pma.<DOMAIN_NAME>|F|2"] [mức độ nghiêm trọng "CRITICAL"] [thẻ "CWAF"] [thẻ "XSS"] [tên máy chủ "www.pma.<DOMAIN_NAME>"] [uri "/app/themes /pmahomme/img/ajax_clock_small.gif"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], người giới thiệu: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server =1
[Thứ Sáu ngày 07 tháng 1 11:37:54.198701 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Truy cập bị từ chối với mã 403 (giai đoạn 2). Khớp mẫu "[\x22'\/`]on[a-z]{1,}?\/{0,}=" tại REQUEST_COOKIES:pmaAuth-1. [tệp "/var/cpanel/cwaf/rules/07_XSS_XSS.conf"] [dòng "162"] [id "212760"] [rev "2"] [msg "COMODO WAF: Bộ lọc XSS của IE - Đã phát hiện tấn công.|| www.pma.<DOMAIN_NAME>|F|2"] [mức độ nghiêm trọng "CRITICAL"] [thẻ "CWAF"] [thẻ "XSS"] [tên máy chủ "www.pma.<DOMAIN_NAME>"] [uri "/app/index .php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Thứ Sáu ngày 07 tháng 1 11:37:54.215776 2022] [core:error] [pid 60361] [client <IP_ADDRESS>:60532] AH00124: Yêu cầu vượt quá giới hạn 10 lần chuyển hướng nội bộ do có thể xảy ra lỗi cấu hình. Sử dụng 'LimitInternalRecursion' để tăng giới hạn nếu cần. Sử dụng 'Gỡ lỗi LogLevel' để lấy lại dấu vết. Tham khảo: http://www.pma.<DOMAIN_NAME>/app/themes/pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Thứ Sáu ngày 07 tháng 1 11:37:54.235059 2022] [core:error] [pid 60364] [client <IP_ADDRESS>:60535] AH00124: Yêu cầu vượt quá giới hạn 10 lần chuyển hướng nội bộ do có thể xảy ra lỗi cấu hình. Sử dụng 'LimitInternalRecursion' để tăng giới hạn nếu cần. Sử dụng 'Gỡ lỗi LogLevel' để lấy lại dấu vết.
[Thứ Sáu ngày 07 tháng 1 11:37:54.238782 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Nhật ký kiểm tra: Không thể khóa mutex chung: Quyền bị từ chối [tên máy chủ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Thứ Sáu ngày 07 tháng 1 11:37:54.238830 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Nhật ký kiểm tra: Không thể khóa mutex chung: Quyền bị từ chối [tên máy chủ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], người giới thiệu: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
[Thứ Sáu ngày 07 tháng 1 11:37:54.244507 2022] [:error] [pid 60364] [client <IP_ADDRESS>:60535] [client <IP_ADDRESS>] ModSecurity: Nhật ký kiểm tra: Không thể mở khóa mutex toàn cầu: Quyền bị từ chối [tên máy chủ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1kjnCs4t3VK1sKGhIPAAAAAE"]
[Thứ Sáu ngày 07 tháng 1 11:37:54.244559 2022] [:error] [pid 60361] [client <IP_ADDRESS>:60532] [client <IP_ADDRESS>] ModSecurity: Nhật ký kiểm tra: Không thể mở khóa mutex toàn cầu: Quyền bị từ chối [tên máy chủ "www .pma.<DOMAIN_NAME>"] [uri "/home/<USER_NAME>/public_html/index.php"] [unique_id "Yde1ktSwsuOu5OLfWtOp8QAAAAA"], người giới thiệu: http://www.pma.<DOMAIN_NAME>/app/themes/ pmahomme/css/theme.css?v=5.1.1&nocache=1161605458ltr&server=1
Mặc dù tôi đồng ý với SSH và CLI, nhưng tôi không phải là quản trị viên máy chủ chính và tôi đã mất một chút thời gian cũng như sự trợ giúp từ cả ISP và Nhà cung cấp dịch vụ lưu trữ để tìm ra vấn đề cấm IP trong CSF/LFD, nhưng tôi đang cố gắng để hiểu vấn đề thực tế để có thể tránh được trong tương lai. Bất cứ ai có thể giải mã lý do? cảm ơn!
