最近,我通过了一些错误日志来看看,因为我们最近有一些networking高峰。 然而,我从来没有使用modsecurity(我是一个程序员,因为我们没有一个真正的系统pipe理员),并出现了一些令人担忧的事情。
ModSecurity: Access denied with code 503 (phase 2). Pattern match --cut-- [line "23"] [id "390144"] [rev "2"] [msg "Command shell attack: Generic Attempt to remote include command shell"] [severity "CRITICAL"] 关键词,命令shell和攻击可能不是什么好事。 我认为“远程包含命令shell”意味着一个黑客在未经授权的情况下试图拉起一个shell,但这更像是一个猜测而已。
有人能告诉我这里发生了什么,或者链接到我应该阅读的一些文档? 条目的频率是什么意思?
频率可能表明这是一个触发mod_security规则的机器人。 它将通过互联网对网站进行拖网,试图findconfiguration不当的networking服务器来利用。
事实上,这是显示在您的日志文件是一件好事,这意味着mod_security已经完成了它的工作,并检测/阻止了攻击。
你应该可以通过查看应该在[23行]之前列出的文件并查看第23行的内容来找出触发哪个规则。无论是在什么地方触发了警报,帮助你缩小范围