Давно использую mod_security, замечательная вешь!
И хочу заметить он не раз меня спасал.
>использовал неделю mod_security на хостинг машине. один геморой с ним
Все дело в правильной настройке. ;)
Вот пример:
<IfModule mod_security.c>
# Включает или выключает движок фильтра
SecFilterEngine On# Проверка правильности кодирования URL
SecFilterCheckURLEncoding On
# Проверка UNICODE кодирования
SecFilterCheckUnicodeEncoding Off
# Использовать только байты из этого диапазона
SecFilterForceByteRange 0 255
# Вести лог только для подозрительных запросов
SecAuditEngine RelevantOnly
# Имя файла лога
SecAuditLog logs/audit_log
# Вывод отладочной информации (установлен минимальный уровень)
#SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0
# Осуществлять проверку POST запросов
SecFilterScanPOST On
# Для подозрительных запросов по умолчанию писать в лог
# и возвращать HTTP ответ с кодом 500
SecFilterDefaultAction "deny,log,status:500"
# Prevent path traversal (..) attacks
SecFilter "\.\./"
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter "<(.|\n)+>"
# Very crude filters to prevent SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
# Require HTTP_USER_AGENT and HTTP_HOST headers
#SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
# Защита от други атак
# Command execution attacks
SecFilter /etc/password
SecFilter /bin/ls
SecFilter /bin/cat
# Directory traversal attacks
SecFilter "\.\./"
# XSS attacks
SecFilter "<[[:space:]]*script"
# SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
# MS SQL specific SQL injection attacks
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
# Защита уязвимого сценария
SecFilterSelective ARG_b2inc "!^$"
# Защита от XSS нападений через cookie PHP сессии
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
# Обнаружение вторжений
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
</IfModule>