在其中一个虚拟主机的error_log中,我发现了成千上万的这样的行,全都来自同一个IP:
[Mon Apr 19 08:15:59 2010] [error] [client 61.147.67.206] mod_security: Access denied with code 403. Pattern match "(chr|fwrite|fopen|system|e?chr|passthru|popen|proc_open|shell_exec|exec|proc_nice|proc_terminate|proc_get_status|proc_close|pfsockopen|leak|apache_child_terminate|posix_kill|posix_mkfifo|posix_setpgid|posix_setsid|posix_setuid|phpinfo)\\\\(.*\\\\)\\\\;" at THE_REQUEST [id "330001"] [rev "1"] [msg "Generic PHP exploit pattern denied"] [severity "CRITICAL"] [hostname "xxxx"] [uri "//webmail/config.inc.php?p=phpinfo();"]
鉴于情况是多么的明显,为什么mod_security不会自动添加至less该IP来拒绝规则? 有没有人没有想过这个之前…
如果来自同一个IP,也许你应该在防火墙级别上阻止它?
但对于APF 这个职位应该有所帮助。