Page 1 of 1
403 Forbidden
Posted: 12 May 2021, 11:04
by Barney
При заполнении задач с примерами кусков кода столкнулся в проблемой:
You don't have permission to access /mantis/bug_report.php on this server.
Если не использую примеры кода в задаче - все ок. Заполняю баг от имени администратора. В чем может быть проблема ?
php 7.4
MantisBT 2.25.0
BBCode+ 2.1.19
Re: 403 Forbidden
Posted: 12 May 2021, 13:19
by Kirill
Какие дополнительные модули стоят?
Что выводиться в логах веб-сервера?
Re: 403 Forbidden
Posted: 12 May 2021, 16:06
by Barney
Установлены следующие плагины:
BBCode+ 2.1.19
MantisBT Core 2.25.0
Taskodrome 2.1.8
Time Tracking 2.0.6
Графики MantisBT 2.25.0
Форматирование MantisBT 2.25.0
Логи к сожалению сейчас нет возможности проверить, смогу дать ответ скорее всего сегодня ближе к ночи.
Вот задача, после занесения которой вылезает ошибка:
Если есть возможность, протестируйте пожалуйста у себя. Спасибо.
Re: 403 Forbidden
Posted: 12 May 2021, 19:02
by Kirill
- ss_20210512_210034_9.png (67 KiB) Viewed 89403 times
Вставился нормально. Не установлены плагины Taskodrome и Time Tracking. Можете попробовать их временно отключить?
Re: 403 Forbidden
Posted: 13 May 2021, 20:35
by Barney
Извиняюсь за задержку ответа.
Плагины деактивировал, ошибка не ушла. Логи на домене не велись, подключил логирование, жду активации. Погоняю трекер, соберу ошибки и приложу в топик.
P.S. Если в трекере есть внутренний дебагер, подскажите пожалуйста, как его включить
Re: 403 Forbidden
Posted: 14 May 2021, 14:32
by Kirill
Barney wrote: ↑13 May 2021, 20:35
P.S. Если в трекере есть внутренний дебагер, подскажите пожалуйста, как его включить
Да. Для этого в файле config/config_inc.php
включите логирование
Code: Select all
/**
* System logging
* This controls the type of logging information recorded.
* The available log channels are:
*
* LOG_NONE, LOG_EMAIL, LOG_EMAIL_RECIPIENT, LOG_EMAIL_VERBOSE, LOG_FILTERING,
* LOG_AJAX, LOG_LDAP, LOG_DATABASE, LOG_WEBSERVICE, LOG_PLUGIN, LOG_ALL
*
* and can be combined using
* {@link http://php.net/language.operators.bitwise PHP bitwise operators}
* Refer to {@link $g_log_destination} for details on where to save the logs.
*
* @global integer $g_log_level
*/
$g_log_level = LOG_ALL;
/**
* Specifies where the log data goes
*
* The following five options are available:
* - '': The empty string means {@link http://php.net/error_log
* default PHP error log settings}
* - 'none': Don't output the logs, but would still trigger EVENT_LOG
* plugin event.
* - 'file': Log to a specific file, specified as an absolute path, e.g.
* 'file:/var/log/mantis.log' (Unix) or
* 'file:c:/temp/mantisbt.log' (Windows)
* - 'page': Display log output at bottom of the page. See also
* {@link $g_show_log_threshold} to restrict who can see log data.
*
* @global string $g_log_destination
*/
$g_log_destination = 'file:/var/log/mantis.log';
Re: 403 Forbidden
Posted: 14 May 2021, 17:47
by Barney
Строки добавил в config/config_inc.php
Гоняю ошибку. Логи сервера молчат. Файл встроенного дебагера так же не появился ...
Re: 403 Forbidden
Posted: 14 May 2021, 19:00
by Kirill
Проверил по коду - нигде вызовов кода ошибки 403 нет - только при доступу к MantisBT через API (REST / SOAP).
Поэтому явно ошибка на сервере. Вы можете попробовать развернуть эту копию на вашем компьютере используя, например, OpenServer.
Re: 403 Forbidden
Posted: 15 May 2021, 14:27
by Barney
Начал составлять письмо в саппорт хостинга, про описании ошибки перешел на страницу ошибки /mantis/bug_update.php на прямую и увидел следующее предупреждение:
Файл, указанный в переменной $g_log_destination "/var/log/mantis.log", недоступен для записи.
Поиск по хостингу не нашел файла mantis.log
В корневом каталоге сайта создал папку var, в ней log, в ней mantis.log. Не доступен для записи. Дал права файлу 777, результат тот же. Что я делаю не правильно ?
Re: 403 Forbidden
Posted: 16 May 2021, 10:49
by Kirill
Попробуйте изменить параметр
Code: Select all
$g_log_destination = 'file:/tmp/mantis.log';
Re: 403 Forbidden
Posted: 16 May 2021, 15:06
by Barney
Спасибо. Теперь доступен для записи, но лог все равно молчит
Re: 403 Forbidden
Posted: 16 May 2021, 16:24
by Kirill
Как я и говорил, проблема скорее всего на стороне сервера. Поэтому и записей в логе нет. Туда сваливаются только сообщения от Мантис.
Re: 403 Forbidden
Posted: 16 May 2021, 18:23
by Barney
Понял. Благодарю. Создам обращение в саппорт хостинга, надеюсь поднимут свои логи и укажут в чем проблема. Главное, чтобы не начали продавать другой тариф
Re: 403 Forbidden
Posted: 21 May 2021, 11:39
by Barney
Наконец-то дошли руки обратиться в саппорт, вот что они мне написали:
У Вас по журналу ошибок наблюдается ошибка ,связанная с Mod_Security ровно по одному правилу
[Fri May 21 14:06:56.164637 2021] [:error] [pid 17955] [client 212.233.114.118:18874] [client 212.233.114.118] ModSecurity: Warning. Pattern match "(?:<\\\\?(?!xml\\\\s)|<\\\\?php|\\\\[(?:/|\\\\\\\\)?php\\\\])" at ARGS:description. [file "/usr/share/modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf"] [line "66"] [id "933100"] [msg "PHP Injection Attack: PHP Open Tag Found"] [data "Matched Data: <? found within ARGS:description: \\xd0\\x94\\xd0\\xbb\\xd1\\x8f \\xd1\\x82\\xd0\\xbe\\xd0\\xb3\\xd0\\xbe, \\xd1\\x87\\xd1\\x82\\xd0\\xbe\\xd0\\xb1\\xd1\\x8b \\xd0\\xbf\\xd0\\xbe\\xd0\\xbb\\xd1\\x83\\xd1\\x87\\xd0\\xb8\\xd1\\x82\\xd1\\x8c \\xd0\\xbf\\xd0\\xb5\\xd1\\x80\\xd0\\xb2\\xd1\\x83\\xd1\\x8e \\xd0\\xba\\xd0\\xb0\\xd1\\x80\\xd1\\x82\\xd0\\xb8\\xd0\\xbd\\xd0\\xba\\xd1\\x83 \\xd1\\x81 \\xd0\\xb7\\xd0\\xb0\\xd0\\xbf\\xd0\\xb8\\xd1\\x81\\xd0\\xb8, \\xd1\\x8f \\xd0\\xb8\\xd1\\x81\\xd0\\xbf\\xd0\\xbe\\xd0\\xbb\\xd1\\x8c\\xd0\\xb7\\xd1\\x83\\xd1\\x8e \\xd1\\x81\\xd0\\xbb\\xd0\\xb5\\xd0\\xb4\\xd1\\x83\\..."] [severity "CRITICAL"] [ver "OWASP_CRS/3.1.0"] [tag "application-multi"] [tag "language-php"] [tag "platform-multi"] [tag "attack-injection-php"] [tag "OWASP_CRS/WEB_ATTACK/PHP_INJECTION"] [tag "OWASP_TOP_10/A1"] [hostname "site.ru"] [uri "/mantis/bug_update.php"] [unique_id "YKeUUFqcqQYAACREUqYAAADT"], referer:
https://site.ru/mantis/bug_update_page.php
Мы рекомендуем отключить данное правило или же мы можем отключить Mod_security с Вашего согласия ответным письмом для проверки работоспособности треккера.
Сейчас отключим Mod_security и проверим работоспособность. О результатах проверки и к чему в итоге пришли отпишу дополнительно
Re: 403 Forbidden
Posted: 21 May 2021, 13:57
by Barney
Хостер отключил ModSecurity, все заработало. Его комментарий следующий:
WAF блокировал запрос от баг-треккера, так как считал его ненадежным по своим собственным правилам