Я загружаю свой шелл на фтп, потом мой скрипт эти линки обходит, но когда я пытаюсь получить доступ к шеллу, получаю что документ не найден (Not found). В логах сервера отразилось вот это:

[CODE]
Code:
[Sun Apr 23 07:28:29 2017] [error] [client 194.165.16.76] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:[^[^[^[^

Похоже, что блочит по тайтлу, который отсылается в ответе.

В исходнике WSO попробуй поменять:


Code:
" . $_SERVER['HTTP_HOST'] . " - WSO " . WSO_VERSION ."

на


Code:
XXX

Если не поможет, то используй что-то более редкое.

Внимательнее изучил регулярку:

[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditLo gParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlEn tityDecode,t:lowercase,ctl:auditLogParts=+E,pass,n olog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^

[QUOTE="crlf"]
crlf said:
↑ (https://antichat.live/posts/4075944/)
Внимательнее изучил регулярку:
[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditLo gParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlEn tityDecode,t:lowercase,ctl:auditLogParts=+E,pass,n olog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^[^

Из всего, что присутствует в регулярке, в респонсе WSO есть только drwxr, он и палился. Функция wsoPermsвозвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится.

crlf said:
↑ (https://antichat.live/posts/4076277/)
Из всего, что присутствует в регулярке, в респонсе WSO есть только
drwxr
, он и палился. Функция
wsoPerms
возвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится.


Спасибо большое, решило мою проблему.