Linux
ModSecurity 錯誤條目
最近,我收到了一些錯誤日誌來查看,因為我們最近遇到了一些網路峰值。但是,我從未使用過 modsecurity(我是一名程序員,因為我們沒有真正的系統管理員,所以我只是這樣做),並且出現了一些令人震驚的事情。
ModSecurity: Access denied with code 503 (phase 2). Pattern match --cut-- [line "23"] [id "390144"] [rev "2"] [msg "Command shell attack: Generic Attempt to remote include command shell"] [severity "CRITICAL"]
關鍵、命令外殼和攻擊這些詞可能不是什麼好東西。我認為“遠端包含命令外殼”意味著黑客試圖在未經授權的情況下啟動外殼,但這更像是一種猜測。
有人可以告訴我這裡發生了什麼,或者連結到我應該閱讀的一些文件嗎?條目的頻率是否意味著什麼?
該頻率可能表明這是一個觸發 mod_security 規則的機器人。它將在網際網路上搜尋網站,試圖找到配置錯誤的網路伺服器來加以利用。
這顯示在您的日誌文件中的事實是一件好事,這意味著 mod_security 已經完成了它的工作並檢測/阻止了攻擊。
通過查看之前應該列出的文件,您應該能夠找出觸發此問題的規則
$$ line “23” $$,並查看第 23 行上的內容。無論那裡是什麼觸發了警報,應該可以幫助您縮小範圍。