<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    <br>
    Hi Manuel, <br>
    <br>
    Many thanks for your reply. <br>
    <br>
    I played around with a rule like this <br>
    SecRule HIGHEST_SEVERITY "@le 90" "...." <br>
    but this never triggered. <br>
    With a SecAction rule I have seen HIGHEST_SEVERITY is always 255. <br>
    This means it is uninitialized. <br>
    Based on the wiki at github values can be between 0 and 7<br>
    But not for me. And maybe HIGHEST_SEVERITY is not that what
    documentation says about severity. <br>
    <br>
    I also tried the following rule <br>
    SecAction
"id:10003,log,allow,phase:5,setenv:bodypost=%{tx.anomaly_score},exec:/path/to/script"<br>
    In my script I see tx.anomaly_score is empty for a normal browser
    query but set to 0 if it is an attack. <br>
    This I could use to trigger a script in case of an attack. <br>
    <br>
    But I don't want that this shell script is executed each time
    someone is visting this URL.<br>
    So I tried a rule <br>
    SecRule tx.anomaly_score "@ge 0"
id:10003,log,allow,phase:5,setenv:bodypost=%{tx.anomaly_score},exec:/path/to/script"<br>
    But in this case Apache does not start, it terminates with<br>
    Error creating rule: Unknown variable: tx.anomaly_score<br>
    <br>
    I tried to understand your e-mail. But obviously I do not. <br>
    Could you give me some detailed explanation how-to configure a rule
    that triggers a script if another rules detects previously an attack
    ? <br>
    <br>
    <br>
    Kind regards <br>
    Hans <br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 21.07.18, 01:05,
      <a class="moz-txt-link-abbreviated" href="mailto:spartantri@gmail.com">spartantri@gmail.com</a> wrote:<br>
    </div>
    <blockquote
      cite="mid:E0C1CB41-0D91-411A-A7AE-E3D1AE053DCD@gmail.com"
      type="cite">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      Hi Hans, you can do a secrule in phase 5 that checks for the
      anomaly score higher than the threshold
      <div><br>
      </div>
      <div>Cheers<br>
        <br>
        <div id="AppleMailSignature">Sent from mobile</div>
        <div><br>
          El 20 jul 2018, a las 15:32, hans mayer <<a
            moz-do-not-send="true" href="mailto:mod.sec@ma.yer.at">mod.sec@ma.yer.at</a>>
          escribió:<br>
          <br>
        </div>
        <blockquote type="cite">
          <div>
            <meta content="text/html; charset=UTF-8"
              http-equiv="Content-Type">
            <br>
            <br>
            Hi Manuel, <br>
            <br>
            Sorry, obviously I didn't explain well enough what I want to
            do. <br>
            I do not want to run a script every time a block ( = certain
            directory structure or URL ) <br>
            is read by a client. <br>
            A script should only be triggered if one of these core rules
            from CRS <br>
            found an attack and is blocking. <br>
            Only in this situation a script should run for this specific
            URL.<br>
            I hope this describes a little bit better. <br>
            I tried different possibilities, for example with SecRule
            HIGHEST_SEVERITY,<br>
            but all of them without success. <br>
            <br>
            <br>
            // Hans <br>
            <br>
            <br>
            <div class="moz-cite-prefix">On 19.07.18, 23:46, Manuel
              Spartan wrote:<br>
            </div>
            <blockquote
cite="mid:CAN6xG9tVWkfFi6ieqfA9K45dLy33oCsBTQnWueHXkgNZ=YRH1w@mail.gmail.com"
              type="cite">
              <div dir="ltr">Hi Hans, 
                <div><br>
                  <div>it may not be the best idea to execute external
                    scripts every time you hit a block, it can easily
                    result in a DOS situation, external scripts take
                    longer to execute resulting in longer processing
                    times, SecDefaultAction inside a directory must
                    override the inherited SecDefaultAction in higher
                    context but that would depend on your rules and
                    apache configuration.</div>
                </div>
                <div><br>
                </div>
                <div>Alternatively you may add a SecRule in phase 2 to
                  check whatever condition you are targetting and use
                  ctl:SkipAfter to jump the SecAction in phase 2. See
                  how the paranoia markers and actions work as they use
                  the same concept.</div>
                <div><br>
                </div>
                <div>Cheers! </div>
              </div>
              <div class="gmail_extra"><br>
                <div class="gmail_quote">2018-07-19 15:11 GMT-05:00 hans
                  mayer <span dir="ltr"><<a moz-do-not-send="true"
                      href="mailto:mod.sec@ma.yer.at" target="_blank">mod.sec@ma.yer.at</a>></span>:<br>
                  <blockquote class="gmail_quote" style="margin:0 0 0
                    .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
                    Dear All,<br>
                    <br>
                    My environment: Apache/2.4 , engine mode:
                    /modsecurity 2.7+<br>
                    <br>
                    I want to achieve whenever any security rule is
                    triggered a script should be executed for a specific
                    directory.<br>
                    <br>
                    In the global Apache security module settings I have
                    this line:<br>
                    <br>
                    SecDefaultAction "phase:2,deny,log,status:406"<br>
                    <br>
                    which does it's job very well<br>
                    <br>
                    So my idea was I define a similar line for this
                    specific directory. In my apache http.conf I have:<br>
                    <br>
                    <Directory  "/some/directory/path"><br>
                         SecDefaultAction "phase:2,deny,log,status:406,e<wbr>xec:/path/to/script"<br>
                    </Directory><br>
                    <br>
                    But obviously it doesn't work. The originally
                    SecDefaultAction is maybe executed first and not
                    over ruled.<br>
                    /path/to/script is never executed.<br>
                    But an attack is successfully blocked.<br>
                    <br>
                    To verify if this script is generally working I
                    modified this line to:<br>
                    <br>
                    SecAction "id:10003,pass,auditlog,log,ph<wbr>ase:5,msg:'log

                    everything',exec:///path/to/sc<wbr>ript"<br>
                    <br>
                    And this works fine. My script is executed. But it
                    triggers each time a browser is going to
                    "/some/directory/path" on this server. Even if it's
                    doing legal things.<br>
                    <br>
                    Any idea how I could solve my problem ? Any help is
                    appreciated.<br>
                    <br>
                    I know version 3 is out with a lot of bugfixes. But
                    currently I don't want to upgrade.<br>
                    <br>
                    Kind regards<span class="HOEnZb"><font
                        color="#888888"><br>
                        Hans<br>
                        <br>
                        -- <br>
                        <br>
                        <br>
                        ______________________________<wbr>_________________<br>
                        Owasp-modsecurity-core-rule-se<wbr>t mailing
                        list<br>
                        <a moz-do-not-send="true"
                          href="mailto:Owasp-modsecurity-core-rule-set@lists.owasp.org"
                          target="_blank">Owasp-modsecurity-core-rule-se<wbr>t@lists.owasp.org</a><br>
                        <a moz-do-not-send="true"
href="https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set"
                          rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-modsecurity-<wbr>core-rule-set</a><br>
                      </font></span></blockquote>
                </div>
                <br>
              </div>
            </blockquote>
            <br>
          </div>
        </blockquote>
      </div>
    </blockquote>
    <br>
  </body>
</html>