Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年12月13日
最終更新日:2013年12月14日

ModSecurity を導入しているサイトにアクセスが拒否されるようになった場合の対処方法

ModSecurity を稼働させている Web サーバーが 403 エラーを返してきてアクセスできなくなった

上記記事で、ModSecurity を導入している WordPress のサイトに対して偽陽性のリクエストを何度も送ったために、攻撃サイトと見なされてアクセスが拒否されるようになったことを書きました。

このアクセス拒否は、サイズの大きな画像を記事に添付しようとして失敗を何度も繰り返したことで発生したのですが、失敗ならなんでもアクセス拒否になる訳でもないようです。条件ははっきりしませんが、なにかしらの条件が成立するとアクセス拒否が発生するようです。

上記記事では、対処方法として IP アドレスを許可するように設定したのですが、自宅環境からアクセスする場合には、グローバル IP アドレスが変わってしまいます。

通常であれば、IP アドレスが変わったらアクセス拒否はされないと思うのですが、IP アドレスが変わったと同時に、またアクセス拒否されるようになりました。

いろいろ試してみたところ、サイトの Cookie を全て削除したらアクセスできるようになりました。Cookie でアクセス制御していたんですね。 → Cookie に攻撃と検知される値が入っていたのが正しいです。

長くなりましたが、ModSecurity を導入しているサイトにアクセスできなくなった場合には、そのサイトの Cookie を削除することが解決方法の一つになります。

同様の現象が起きた場合は、お試しください。

(追記)

Cookie を削除するとアクセスできるようになるのですが、WordPress にログインするとまたアクセス拒否されるようになりました。

どうやら、WordPress の Cookie が id:981172 のルールに該当する SQL インジェクションの攻撃として認識されていたようです。id:981172 のルールを除外することで、無事にアクセスできるようになりました。

WordPress 特有の問題かもしれませんね。

以下の記事にも反映させました。


スポンサーリンク




カテゴリー:ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA