【一応解決】エラーModSecurity: Request body no files data length is larger than the configured limit



※この問題は解決しました※
Apacheエラーかと思ったらDdos攻撃だった
でした。
我ながら情けない。
画像サイズが原因でエラーが出る場合もあるので一応残しておきます。


毎日このようなエラーが50通以上きています。

[:error] [pid ~:tid ~]
[client 94.182.176.136:60780] 
[client 94.182.176.136] 
ModSecurity: Request body no files data length 
is larger than the configured limit (1048576).. 
Deny with code (413) [hostname "zbnr-hp.com"] 
[uri "/"] [unique_id "~"]

恐らく、2019年頃にWordPressをアップデートした後からエラーを出すようになったと思うのですが、直し方が分からなかったので放置していました。覚え書きとして書いておきます。

どうやらファイルが 1048576 バイト以上あると WAF エラーになるようで。たったの= 1024KB = 1MG 程度でエラーになるとは。

Reference Manual (v2.x) · SpiderLabs/ModSecurity Wiki · GitHubを拝見したところ、Apacheの設定ファイル「httpd /conf」から変更するらしい。

/etc /httpd /conf.d /mod_security.conf

この場合は

ModSecurity: Request body no files data length is 
larger than the configured limit (1048576).

この 数値を大きくすれば良いみたい。

SecRequestBodyNoFilesLimit

Generally speaking, the default value is not small enough. For most applications, you should be able to reduce it down to 128 KB or lower. Anything over the limit will be rejected with status code 413 (Request Entity Too Large). There is a hard limit of 1 GB.

この場合は

ModSecurity: Request body (Content-Length) is 
larger than the configured limit (134217728).

この 数値を大きくすれば良いみたい。

SecRequestBodyLimit

Anything over the limit will be rejected with status code 413 (Request Entity Too Large). There is a hard limit of 1 GB.

Note : In ModSecurity 2.5.x and earlier, SecRequestBodyLimit works only when used in the main server configuration, or a VirtualHost container. In these versions, request body limit is enforced immediately after phase 1, but before phase 2 configuration (i.e. whatever is placed in a Location container) is resolved. You can work around this limitation by using a phase 1 rule that changes the request body limit dynamically, using the ctl:requestBodyLimit action. ModSecurity 2.6.x (currently in the trunk only) and better do not have this limitation.

「らしい」「みたい」ばかりですいません。実際にやっていないので。やり方は分かったのですが「conf」がある場所が分からないんですー。

いっそのこと「94.182.176.136」をIPアクセス拒否しちゃおうかと思いますが、止めておきます…