在其中一个虚拟主机的 error_log 中,我发现了数千行类似的内容,全部来自同一个 IP:
[Mon Apr 19 08:15:59 2010] [error] [client 61.147.67.206] mod_security: Access denied with code 403. Pattern match "(chr|fwrite|fopen|system|e?chr|passthru|popen|proc_open|shell_exec|exec|proc_nice|proc_terminate|proc_get_status|proc_close|pfsockopen|leak|apache_child_terminate|posix_kill|posix_mkfifo|posix_setpgid|posix_setsid|posix_setuid|phpinfo)\\\\(.*\\\\)\\\\;" at THE_REQUEST [id "330001"] [rev "1"] [msg "Generic PHP exploit pattern denied"] [severity "CRITICAL"] [hostname "x.x.x.x"] [uri "//webmail/config.inc.php?p=phpinfo();"]
鉴于这种情况如此明显,为什么 mod_security 没有自动至少将该 IP 添加到拒绝规则中?不可能之前没有人想到过这一点……
答案1
如果它来自同一个 IP,也许你应该在防火墙级别阻止它?
但对于 APF这个帖子应该有帮助。