Erreurs logs ModSecurity: Access denied with code 403

Bonjour,

L'ICANN est un organisme, ils n'ont pas de sript testant vos sites.
Ils ont définit les adresse IP 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16 comme étant des réseaux privé non-routable.

https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9

L'adresse 10.0.55.91 appartient donc à notre réseau interne chez OVH, il s'agit d'un de nos predictor.
Je ne sais pas trop pourquoi cette machine ferait une requête sur votre site, il me faudrait votre nom de domaine pour approfondire.

Pour les erreurs 403, il me faudrait beaucoup plus d'information pour dire pourquoi elle est là...
Il me faut votre nom de domaine et savoir qu'elle IP fait ce 403.

Cdt,

OK Merci, je peux effectivement faire le test pour pingdom

Mais ce qui me tracasse le plus actuellement ce sont ces 2 points :

- J'ai fréquemment l'IP de mon hébergement accompagné d'une ip ovh 10.0.55.91 c'est quoi => aucune idée ?
Vérification faite. Il s'agit de l'ICANN. Je viens de consulter les logs bruts en temps réel "error" => ils viennent toutes les heures pour faire je ne sais quoi (quelqu'un sais ?) et génèrent une erreur dans les logs de type tag "PROTOCOL_VIOLATION/MISSING_HEADER_UA"
Si leur script était correct, c'est un bon lot d'anomalie qui serait en moins dans les logs mais je ne vois comment demander à l'ICANN de modifier leur script...

- Je fait tourner de temps en temps des outils externes, par exemple dernièrement myrankingmetrics.com. C'est cet outil qui m'a détecté de nombreuses erreurs 403 sur mes pages alors qu'elles sont accessibles. Je trouve bien leur IP sur les logs "web" mais pas dans les logs "error" donc je ne comprend pas d'où proviennent ces erreurs 403
C'est mon pb le plus important. ;-)
Pourquoi cet outil remonte des erreurs 403 ? Car je retrouve bien ces erreurs dans les logs "web" avec l'IP de l'outil en question (les pages en question sont pourtant accessible de mon côté en 200). Mais je ne trouve rien dans les logs "error" avec cette IP. Donc je ne vois pas comment corriger ce problème. Quelqu'un a une idée ?

Bonjour,

Visiblement de ce que je vois sur le net pingdom ne passe pas le mod_security (peut être utilisent-ils un UA fait maison).

ex: http://gregor.web.id/wordpress/2013/...m-servers.html

Un test simple serait de stopper les tests pingdom pendant un moment voir si les erreurs s'arrêtent.
Si c'est le cas, voir si pingdom permet de faire des tests avec un autre UserAgent ou en utilisant de vrai navigateur (c'est le cas sur statuscake par exemple).

Cdt,

OK merci Ludo.
Le mod_security me semble avoir son utilité je pense, et il serait dommage de le désactiver? car je vois effectivement des IP : des registrars de noms de domaine, téléphonie ou autres (sans doute des robots) qui ont l'air de scanner le site... (pour les registrars je ne vois pas pour faire quoi ?) donc par défaut les bloquer me semble correct et recommandé !
J'ai fréquemment l'IP de mon hébergement accompagné d'une ip ovh 10.0.55.91 c'est quoi => aucune idée ?
J'ai effectivement des taches cron pour les sauvegardes du site mais seulement seulement une fois par jour et de nuit. Donc les erreurs répétés en journée à des minutes d'intervalle ne semble pas provenir du cron.
Je fait tourner de temps en temps des outils externes, par exemple dernièrement myrankingmetrics.com. C'est cet outil qui m'a détecté de nombreuses erreurs 403 sur mes pages alors qu'elles sont accessibles. Je trouve bien leur IP sur les logs "web" mais pas dans les logs "error" donc je ne comprend pas d'où proviennent ces erreurs 403.
Autre piste j'ai aussi pingdom qui vient régulièrement scanner le site, mais aucune idée de leur IP.

Non pas pour l'instant. Vu que les erreurs concernent apparemment le mod_security, je voulais déjà comprendre ce que veulent dire les erreurs afin de savoir où chercher.

Par ailleurs les logs quand on a un multidomaine sur l'hébergement concernent ils que le site indiqué ou sagit-il des logs de tous les sites hébergés donc sans distinction du site défaillant ?

Bonjour,

le mod_security d'apache se plaind du manque de header dans http : Request Missing a User Agent Header
Il manque un user-agent.
Il faut ajouter ce header (souvent des scripts php qui viennent sur votre site, cron ou autre qui ne sont pas des browser).
Il vous reste la possibilité d'enlever le mod_security.

Cdt,

As-tu aussi posé ta question sur un forum dédié JOOMLA ?

J'ai configuré mon ovh config de cette façon :
app.engine=php
app.engine.version=5.6
http.firewall=security
environment=production

Joomla vient de sortir la version 3.5 compatible avec Php7 mais à tester et avec toutes les extensions, donc actuellement la version 5.6 est conforme aux Technical Requirements de Joomla

Gaston, réponse dans la question: Ce ne serait pas un problème de version PHP ?

Quel CMS ?

Bonjour

Je découvre dans mes logs beaucoup d'erreurs de ce type (pour info c'est un site construit avec Joomla dernière version 3.4.x) :
[Fri Mar 18 15:15:01 2016] [error] [client 10.0.55.91] [host xxxxxxxxxxxxx] request failed: error reading the headers
[Fri Mar 18 15:15:08 2016] [error] [client 213.186.33.2] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache2/conf/modsecurity/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "65"] [id "960009"] [rev "2.1.1"] [msg "Request Missing a User Agent Header"] [severity "NOTICE"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER_UA"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "www.xxxxxxxxxxxxxxx"] [uri "/index.php"] [unique_id "VuwNbAoAQVoAAD7Sp6kAAAAQ"]

Qu'est-ce que cela veut dire ? et comment corriger ?
Vous en remerciant