Недавно мне передали несколько журналов ошибок, чтобы я мог изучить их, поскольку недавно у нас были скачки сети. Однако я никогда не работал с modsecurity (я программист, просто занимаюсь этим, потому что у нас нет настоящего системного администратора), и тут возникла кое-что тревожное.
ModSecurity:
Access denied with code 503 (phase 2). Pattern match
--cut--
[line "23"] [id "390144"] [rev "2"] [msg "Command shell attack:
Generic Attempt to remote include command shell"] [severity
"CRITICAL"]
Слова критический, командная оболочка и атака, вероятно, не являются чем-то хорошим. Я думаю, что «удаленное включение командной оболочки» означало, что хакер пытался запустить оболочку без авторизации, но это скорее предположение, чем что-либо еще.
Может ли кто-нибудь сказать мне, что здесь происходит, или дать ссылку на документацию, которую я должен прочитать? Будет ли что-нибудь означать частота входов?
Вы сможете узнать, какое правило запускает это, просмотрев файл, который должен быть указан перед [строкой «23»], и посмотрев, что находится в строке 23. Что бы там ни было, это то, что вызвало предупреждение, и должно поможет вам сузить круг вопросов.
Вероятно, частота указывает на то, что это бот, запускающий правило mod_security. Он будет рыскать по веб-сайтам в Интернете, пытаясь найти плохо настроенные веб-серверы для использования.
Тот факт, что это отображается в ваших файлах журнала, - это хорошо, это означает, что mod_security выполнила свою работу и обнаружила / предотвратила атаку.