mod_security правило не прекратит обработку

Question

У меня проблема с mod_security в Plesk 12. Попытка отключить правило в определенном домене. Используя PLESK инструментов на домене Я попытался отключить правило: 340465. («попытка дистанционного Injection файла в ARGS»)

просмотр httpd.conf этого домена я могу видеть, это было применено:

<IfModule mod_security2.c> 
     SecRuleEngine On 
     SecRuleRemoveById 340465 
</IfModule> 

Но конкретное действие в администраторе домена (cubecart ~ сохранение продукта с URL-ссылкой в ​​одном из полей) По-прежнему отключает правило.

• Я перезагрузил HTTPD вручную после применения изменений
Plesk
• Я хвостами в /var/log/modsec_audit.log> никакие дополнительные правила не были споткнулся (просто 340465)
• это EXACT процесс отлично работает на другом домен для правила: 350147

здесь запись в журнале:

Message: [file "/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/50_plesk_basic_asl_rules.conf"] [line "386"] [id "340465"] [rev "56"] [msg "Protected by Atomicorp.com Basic Non-Realtime WAF Rules: Remote File Injection attempt in ARGS (admin.php)"] [severity "CRITICAL"] Access denied with code 403 (phase 2). Match of "rx ://%{SERVER_NAME}/" against "ARGS:digitalDir" required. 
Action: Intercepted (phase 2) 
Apache-Handler: php5-script 
Stopwatch: 1476823326390407 42244 (- - -) 
Stopwatch2: 1476823326390407 42244; combined=7021, p1=2, p2=7017, p3=0, p4=0, p5=2, sr=0, sw=0, l=0, gc=0 
Producer: ModSecurity for Apache/2.9.1 (http://www.modsecurity.org/); 201610141331. 
Server: Apache 
Engine-Mode: "ENABLED" 

Любой thoug hts относительно того, что здесь (не?) происходит здесь - почему это правило все еще обрабатывается?

Answer 1

SecRuleRemoveById необходимо указать ПОСЛЕ удаления идентификатора.

Мое предположение, что вы загружаете /etc/httpd/conf/modsecurity.d/rules/tortix/modsec/50_plesk_basic_asl_rules.conf в свою конфигурацию после вашего вызова SecRuleRemoveById, а не раньше.