点标签看更多好帖
开启左侧

关于mod_security

[复制链接] 2
回复
1880
查看
打印 上一主题 下一主题
楼主
跳转到指定楼层
发表于 2017-1-21 21:32 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
前一段发生403在保存前台,DIY时候,都是mod_security
0 \8 ?+ o7 [  Y" j7 L( y* G
$ m7 G5 I2 ~0 Y* `4 M后台保存站点广告,如果含有一定词汇,也会出现。$ y1 w" h( S) C% H6 b. A8 y* |
! Z. Y+ t$ M9 j: n( ]
看到这里有,黏贴学习:& x, V9 k: f3 i5 p# l* P* x3 S/ Z

. m! e, O- ~5 o: ]0 zhttps://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-259. s: A) {- T% U% n' f

( z, Y9 ]. n  U  i9 z
  1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue; ?: L: `3 l/ H, x, @
  2. last updated: october 28, 2016  v& |! t6 B4 J3 g& L8 l. S
  3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.9 ^- w$ H) f3 r# W2 w
  4. 6 p: I4 k1 h- l8 z. @2 \2 ^: S; x+ j
  5. Not Acceptable- t7 R; ?+ B- C8 a! w5 S8 j) i
  6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server
    9 v7 ^9 m# a4 C" p$ i4 n! j% V

  7. 3 j8 Z: n. d  N  u3 T# Q
  8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.5 U/ d. p) N0 x3 n/ d( n$ m
  9. , z" j0 Z. T6 d" c4 n% ~  P
  10. Solution 1 for Fixing 406 Error8 z1 u0 V! A5 o; `" d
  11. : f. m$ Y' m2 j; J0 q* L( G, v9 s5 |
  12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.
    1 u- \: D$ G5 B8 h

  13. ' w5 m: W! G- z
  14. <IfModule mod_security.c>
    " V: \' |0 r, x. V7 i3 s3 O
  15. SecFilterEngine Off
    8 V' [8 |2 M" ~) y8 m0 _
  16. SecFilterScanPOST Off
    ! Z( R) _' T5 m- I9 x- x
  17. </IfModule>
    $ f" O: U# K: k' k# s) l
  18. You can use any text editor such as Notepad to create this file.- B: C" C6 z% `* m9 |
  19. ' Q# \& z( l7 ^6 I
  20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.
    + H: P' n2 R2 D$ `

  21. 5 L( g1 B* X) q9 T/ N+ t( s* f
  22. Solution 2 for Fixing 406 Error4 Q# o: |. p9 T' G1 F- n

  23. / p  n* q! O1 f  y
  24. This is the solution that worked for me for my WordPress site.
    # r+ ~+ O3 A) P3 c. I' d+ g+ U

  25. ! c& T( S$ L' Y/ |, f% x
  26. Backup your .htaccess file if you have one in the public_html directory.- _& P9 x8 b6 G6 l

  27. ) b# a6 o- n" i; g7 u- y  h
  28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory., l1 ?% q( \3 Q3 J
  29. , ~" _( `- t8 i
  30. # BEGIN WordPress
    " {  K4 m4 d# ^2 j1 y
  31. <IfModule mod_rewrite.c>8 b8 V( z: K  S+ p: @  }- @
  32. RewriteEngine On1 C( ^0 o- I, Q, Q6 L
  33. RewriteBase /
    2 Y$ r0 S3 r/ O, H( t( ?# |
  34. RewriteCond %{REQUEST_FILENAME} !-f& [8 U% u1 l/ g7 y9 M; z* |& K0 V0 w
  35. RewriteCond %{REQUEST_FILENAME} !-d
    9 E; R" c# t  x. w
  36. RewriteRule . /index.php [L]! S" i; y! e' Q. ?( \: D  i
  37. </IfModule>$ q! a3 c  n- w; z' u
  38. # END WordPress
    ' J) v/ r3 \1 D2 q% Y* g
  39. Hopefully one of these solutions help fix your “Not Acceptable” error.
    0 P7 W) I3 L0 A- ~

  40. & j) _7 |$ R( i7 p) _& C
  41. Good luck!
复制代码
( U; V6 I1 C$ S

; h2 \; |6 K% o4 v# a4 i' x

转载请保留当前帖子的链接:https://www.beimeilife.com/thread-41419-1-1.html 谢谢
板凳
发表于 2017-1-22 11:46 | 只看该作者
XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                
. A, W) x2 q, r+ [8 _
  ~0 ~6 H+ ^$ ~0 iCC 攻击防御
当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击
$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                
! g. z6 h8 y8 k0 v! H4 N! C# J5 B8 q' q* P2 i% G
SQL 安全性防御) i: T4 ^9 Q7 Z6 S4 z
  1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测,可自动预防SQL注入攻击
    & q, U7 M! m( |1 D" {7 {4 A
  2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
    " Q1 M; W) d7 H8 ~+ w
  3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';  V, _% l* O1 L
  4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
    ( s, Z( Z; U- }
  5. $_config['security']['querysafe']['dfunction']['3'] = 'if';
    $ ^8 E# a- H* o5 d
  6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';
    ( ^* E, Z/ k5 H9 l5 k
  7. $_config['security']['querysafe']['dfunction']['5'] = 'char';) W; E) D1 t9 O0 J* {8 `9 @
  8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
    - @' W# M! E! o# `' ?; z; B* L" u" `- Y
  9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';+ i/ O* `' Q& `6 z5 M
  10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';6 [& ~5 a3 }& v- u6 K
  11. $_config['security']['querysafe']['daction']['3'] = '(select';
    ! t0 w: D; Q3 P6 r1 n3 Y! t9 H
  12. $_config['security']['querysafe']['daction']['4'] = 'unionall';# u8 d) K9 j. g; N& S) k
  13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
    ( q" ]# W& q% y1 d2 o! S. G
  14. $_config['security']['querysafe']['dnote']['0'] = '/*';4 X( }- A. o; x# M* }3 {$ ^
  15. $_config['security']['querysafe']['dnote']['1'] = '*/';7 ]& d% t% `0 M! t8 I
  16. $_config['security']['querysafe']['dnote']['2'] = '#';4 {, @$ r% E+ V- V
  17. $_config['security']['querysafe']['dnote']['3'] = '--';& l! w& P" _! k4 n4 N# s3 I
  18. $_config['security']['querysafe']['dnote']['4'] = '"';) Y0 |. i# q9 ~! \4 U
  19. $_config['security']['querysafe']['dlikehex'] = 1;
    ; Y5 h+ v" _+ I0 Y3 y7 t! G, ~9 ]
  20. $_config['security']['querysafe']['afullnote'] = '0';
复制代码
/ X  ~& o7 ^6 R! q

4 y6 Y7 @: A& ~8 h0 u6 [, [! ^3 `/ y: Y
* N7 [1 @7 x- [% j# v+ s1 g

, {4 ?% x5 k# C1 u% ]; q% k( b

5 y+ X. m( E. k- P0 _) e4 c
# V8 b: L3 F/ z0 o! h" A# ?6 n

6 [1 y6 u# J9 @                      & l. `, L* O% o4 x2 B  T
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以,1代表开启/0代表关闭
+ {8 Y3 l0 q+ s1 ]- T
创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人                                        // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;                                
/ C, R5 I( Q% E/ f' N0 J* e$ q7 _, h) l; B# K) S
安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                1 b( G% D9 L1 p& E; w' \
, V; w- v" s0 Z/ d4 N' ^' N
验证后台管理IP
验证后台管理IP,建议开启
$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                8 u) T1 ]8 K( k0 @

( P" A. V) ^' |6 b- F后台是否允许执行相关的MySQL操作
后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句
$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                # Y# P: Z% V4 Y0 i- s
3 U: M6 N, A. z: X' C
后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              
) C) F! x0 `; D

/ S7 d8 f8 ]& q; _; e! W, Y0 i3 K! @

3 q% u- r' X7 g. a; T# I
7 b8 [4 L9 W0 e% {5 j

6 W! Y- z0 }+ I+ V& q8 {! {http://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm+ I3 q1 m* E! v- j6 f; h. V8 h; J
                  ) W' F0 ~' I7 ^+ c! H: c5 B0 d
0 \/ I) P% a" d) q6 i
8 |# c2 d9 ?2 u, _% x9 i

2 `0 F6 D5 Z) J5 B+ {1 g& ?0 Y3 M& ~8 d: _4 ?$ V
沙发
发表于 2017-1-21 21:33 | 只看该作者
http://www.bkjia.com/dedecms/362281.html. C* w$ o# G/ p! h, z7 d. N' z

2 f8 Z. A3 X5 `0 k: O7 P9 Z. f
最近论坛里很多朋友求救,说出现了这个问题,最近我也被这个问题困扰着。多谢Funkey朋友的办法,问题终于解决。 ! j3 X' a  i  \0 H2 f
* Q: [, z6 Z+ n2 Z
问题说明:
( L' `* X# G7 G$ Z2 E# g* m* _- v. i$ O( V$ F3 o2 C7 o) a
后台设置页面无法保存,出现如下500错误页面: ' L5 m, a; R% t- E

' X/ [* }+ @! Q2 K& h# O& a: Mforbidden / K, ^/ u, T8 D: c+ M; B
You don't have permission to access /dede/sys_info.php on this server.
& x' n5 L2 X& U5 ^7 Z' [% |  z6 E" u" j; c! u. y6 m" o
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.   E/ K+ L2 u' V5 }+ ~/ B
, H3 x* Q3 v5 m2 i
Apache Server at www.******.com Port 80 * [" [$ ~6 ^% f* |! R* @2 V$ Z8 K- D) S
& h- z  U, m% s
问题一般出现在国外主机空间上【目前发现此问题的空间商有:Host1Plus,BlueHost,JustHost,Backy LLC】,dedecms 5.5 和 5.6 都会出现错误,可见是空间的问题,不是织梦的问题。 & Y/ K0 `1 n) s! o+ ?9 w

( j, ?. p) I9 v4 y# y! h( c原因: & H# H+ h5 S6 S
经过多方核实,可以确定,大多数的国外主机在配置 Apache 的时候启用了 mod_security ,也就是开启了安全检查,如果提交的信息中包含 select , % , bin 等关键字,Apache 就会禁止,并给出 403,404,500 等错误。
' |1 N7 F6 t' ?  G  d/ x! n$ n% y% U
解决方法: : m. _7 d3 M! ~- w) }
由于这个设置属于服务器级别的配置,如果是VPS用户,需要关闭 mod_security2 的检查(mod_security2.c);而如果是虚拟空间用户的话需要联系客服协助修改。   s3 i* z4 k, n7 Y
( T7 s: p# {* Y9 `
操作办法:
8 t6 a9 n" o& N(虚拟空间用户)如果是CP面板,选择 Submit ticket——Paid hosting support,告诉客服自己使用 DEDE_CMS,请求将 mod_security 设置为 disabled 即可正常使用。 2 G. c' a. R  C8 B8 m
英语不好的朋友,可以直接复制以下语句: ; b$ O8 Z" y' `$ r- }* ^
引用
7 k8 h( S/ D+ R- D* uI wanna use DEDE_CMS,So please change mod_security2.c settings to disable.

0 w4 l+ U6 Z3 i9 V( [
- k; B0 c3 E% t+ }
原文地址:http://www.bkjia.com/dedecms/362281.html

' a5 j. f2 L/ a3 u6 F' H

使用高级回帖 (可批量传图、插入视频等)快速回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表