В одном из error_log vhosts я нашел тысячи таких строк, все с одного IP:
[Mon Apr 19 08:15:59 2010] [error] [client 61.147.67.206] mod_security: Access denied with code 403. Pattern match "(chr|fwrite|fopen|system|e?chr|passthru|popen|proc_open|shell_exec|exec|proc_nice|proc_terminate|proc_get_status|proc_close|pfsockopen|leak|apache_child_terminate|posix_kill|posix_mkfifo|posix_setpgid|posix_setsid|posix_setuid|phpinfo)\\\\(.*\\\\)\\\\;" at THE_REQUEST [id "330001"] [rev "1"] [msg "Generic PHP exploit pattern denied"] [severity "CRITICAL"] [hostname "x.x.x.x"] [uri "//webmail/config.inc.php?p=phpinfo();"]
Учитывая, насколько очевидна ситуация, почему mod_security не добавляет автоматически хотя бы этот IP-адрес для отклонения правил? Вряд ли кто-то не подумал об этом раньше ...
Если он с того же IP-адреса, возможно, вам стоит просто заблокировать его на уровне брандмауэра?
Но для НПФ эта почта должно помочь.