最近,我收到了一些错误日志,需要查看,因为我们最近遇到了一些网络高峰。但是,我从未使用过 modsecurity(我是一名程序员,因为我们没有真正的系统管理员,所以只能做这件事),然后出现了一些令人担忧的事情。
ModSecurity:
Access denied with code 503 (phase 2). Pattern match
--cut--
[line "23"] [id "390144"] [rev "2"] [msg "Command shell attack:
Generic Attempt to remote include command shell"] [severity
"CRITICAL"]
关键、命令 shell 和攻击这些词可能不是什么好事。我认为“远程包含命令 shell”的意思是黑客试图在未经授权的情况下启动 shell,但这更多的只是猜测。
有人能告诉我这里发生了什么吗?或者给我一些我应该阅读的文档链接吗?条目频率有什么意义吗?
答案1
该频率可能表明这是一个触发 mod_security 规则的机器人。它会在互联网上搜索网站,试图找到配置不当的 Web 服务器来加以利用。
事实上,这出现在您的日志文件中是一件好事,这意味着 mod_security 已经完成了它的工作并检测/阻止了攻击。
答案2
通过查看 [line "23"] 之前列出的文件,并查看第 23 行的内容,您应该能够找出触发此问题的规则。那里的内容就是触发警报的原因,应该可以帮助您缩小范围。