ModSecurity [RESOLVIDO]

chmod755
(usa BackTrack)

Enviado em 22/02/2015 - 04:44h

Olá Pessoal,

Estou fazendo o Hardening do meu servidor Debian wheezy ,no momento estou com um problema para implementar o ModSecurity.
Já realizei a instalação e ativação de alguma rules em meu servidor Linux.
O meu problema é que mesmo depois de alterar a linha "SecRuleEngine DetectionOnly" para "SecRuleEngine On" no arquivo de configuração do ModSecurity ,ele não esta bloqueando nenhum ação maliciosa no meu servidor.


=================== Exemplo dos logs =======================
Message: Warning. Pattern match "(?:\\b(?:\\.(?:ht(?:access|passwd|group)|www_?acl)|global\\.asa|httpd\\.conf|boot\\.ini)\\b|\\/etc\\/)" at ARGS:cmd. [file "/etc/apache2/modsecurity_crs/activated_rules/modsecurity_crs_40_generic_attacks.conf"] [line "181"] [id "950005"] [rev "2.2.5"] [msg "Remote File Access Attempt"] [data "/etc/"] [severity "CRITICAL"] [tag "WEB_ATTACK/FILE_INJECTION"] [tag "WASCTC/WASC-33"] [tag "OWASP_TOP_10/A4"] [tag "PCI/6.5.4"]
Message: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/etc/apache2/modsecurity_crs/activated_rules/modsecurity_crs_60_correlation.conf"] [line "37"] [id "981204"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5, SQLi=0, XSS=0): Remote File Access Attempt"]

Como é possivel visualizar nos logs , o Message é de apenas "Warning" e não tem nenhum "Access denied".
cat /var/log/modsec_audit.log | grep Access denied => Nenhuma referencia de bloqueio.

Em outras palavras ,tenho um segurança de braços cruzados kkkk

Já procurei no google ,mas até agora não encontrei nenhuma solução para o problema =[
Alguem já passou por algo parecido ou sabe como resolver este problema ?