IDS Probleme nach ispconfig_update - Possible attack detected. This action has been logged.

[mcpsoftworks]

Hello alle -

Wenn man versucht, sich auf ISP-Config einzuloggen (das ist bei ALLEN von uns betreuten Servern mit ispconfig Panel der Fall), wird anstelle der Loginmaske nur angezeigt:

Possible attack detected. This action has been logged.

Wenn man den Browser im Privatmodus startet, ist alles in Ordnung und man kann wieder normal auf den Panel zugreifen. Um das Problem zu lösen, muss man unter /usr/local/ispconfig/security/security_settings.ini ids_anon_block_level auf 50 setzen, dann funktioniert die Loginmaske wieder.

Das Problem tritt bei ALLEN Installationen auf, nicht nur bei denen mit Rspamd. Auf der Domain läuft ausser dem Hostingpanel keine andere Software.

Wisst Ihr was dazu?

LG
Christoph Christ

 

[Till]

Vermutlich sendet Dein Browser ein Cookie an den ispconfig server das nicht von ISPConfig stammt und dieses cookie enthält suspekte Daten wie ein script oder Pfade oder ähnliches. Daher geht es auch im privaten Modus, denn dort ist diese Cookie nicht hinterlegt worden. Details zum Grund der IDS Sperre sollten sich auch im ispconfig system log im monitor Modul finden. Ein cookie löschen im Browser sollte helfen.

 

[mcpsoftworks]

Vermutlich sendet Dein Browser ein Cookie an den ispconfig server das nicht von ISPConfig stammt und dieses cookie enthält suspekte Daten wie ein script oder Pfade oder ähnliches. Daher geht es auch im privaten Modus, denn dort ist diese Cookie nicht hinterlegt worden. Details zum Grund der IDS Sperre sollten sich auch im ispconfig system log im monitor Modul finden. Ein cookie löschen im Browser sollte helfen.

Hallo Till,
Stimmt, das sollte helfen - nur meine Kunden sind sehr angepisst, wenn sie gezwungen den Cache zu löschen, weil dann alle ihre Netbanking und sonstigen Daten weg sind ;-)

auf der Domain läuft nichts anderes, weil wir dafür eine dedizierte extra Domain haben. Wenn man den Cache löscht, funktioniert es ja (ausserdem gehen wir über den Port 8080 - das sollte ja andere Cookies ausschliessen). Das einzige was hier noch läuft, ist roundcube und phpmyadmin. Rspamd läuft auf 8081.

Es sind dies folgende Einträge im ids.log, die erscheinen, wenn das Problem auftritt:

any:/index.php:COOKIE.tk_or
any:/index.php:COOKIE.tk_lr
any:/index.php:COOKIE.experimentation_subject_id

Diese cookies sehe ich aber ständig im ids.log... Hmmm.

LG
Christoph

 

[Till]

Die cookies sind nicht von ISPConfig, Google mal nach deren Namen und versuch raus zu finden welche software sie gesetzt hat und ändere das dann. Alternativ kannst Du nur das IDS abschalten bzw. den score so hoch setzen dass es nicht mehr geht, denn ein Fehler liegt hier nicht vor, das IDS macht egnau das was es soll bei Dir. Und noch ein Hinweis, es geht um software auf der selben domain, der Port ist egal bei cookies meiner Meinung nach.

 

[mcpsoftworks]

Also die tk_XX sind von Wordpress hab ich nun herausgefunden. aber ist der ids check nicht dann ausgehebelt, wenn der block erst bei score 50 kommt?

 

[Till]

aber ist der ids check nicht dann ausgehebelt, wenn der block erst bei score 50 kommt?

Ja, ist er. Daher auch mein rat rauszufinden woher die Cookies kommen und die Ursache beheben. Entweder das WP läuft auf der exakt selben Domain (nur anderer port), in dem Fall sollte man das ispconfig auf eine subdomain legen, oder aber das WP setzt cookies für alle subdomains mit anstatt nur für seine eigene (sub) domain.