Linux

ModSecurity 錯誤條目

  • March 6, 2015

最近,我收到了一些錯誤日誌來查看,因為我們最近遇到了一些網路峰值。但是,我從未使用過 modsecurity(我是一名程序員,因為我們沒有真正的系統管理員,所以我只是這樣做),並且出現了一些令人震驚的事情。

ModSecurity:
Access denied with code 503 (phase 2). Pattern match
--cut--
[line "23"] [id "390144"] [rev "2"] [msg "Command shell attack:
Generic Attempt to remote include command shell"] [severity
"CRITICAL"]

關鍵、命令外殼和攻擊這些詞可能不是什麼好東西。我認為“遠端包含命令外殼”意味著黑客試圖在未經授權的情況下啟動外殼,但這更像是一種猜測。

有人可以告訴我這裡發生了什麼,或者連結到我應該閱讀的一些文件嗎?條目的頻率是否意味著什麼?

該頻率可能表明這是一個觸發 mod_security 規則的機器人。它將在網際網路上搜尋網站,試圖找到配置錯誤的網路伺服器來加以利用。

這顯示在您的日誌文件中的事實是一件好事,這意味著 mod_security 已經完成了它的工作並檢測/阻止了攻擊。

通過查看之前應該列出的文件,您應該能夠找出觸發此問題的規則

$$ line “23” $$,並查看第 23 行上的內容。無論那裡是什麼觸發了警報,應該可以幫助您縮小範圍。

引用自:https://serverfault.com/questions/60448