ModSecurity错误条目

Question

最近，我收到了一些错误日志以供查看，因为我们最近有一些网络尖峰。然而，我从来没有使用modsecurity (我只是一个程序员，因为我们没有真正的sysadmin)，出现了一些令人担忧的事情。

ModSecurity:
Access denied with code 503 (phase 2). Pattern match
--cut--
[line "23"] [id "390144"] [rev "2"] [msg "Command shell attack:
Generic Attempt to remote include command shell"] [severity
"CRITICAL"]

“关键”、“命令外壳”和“攻击”这几个词可能不是什么好词。我认为“远程包含命令shell”意味着黑客试图在未经授权的情况下拔出一个shell，但这只是猜测而已。

有人能告诉我这里发生了什么，或者链接到一些我应该读的文档吗？条目的频率是否意味着什么？

Answer 1

频率可能表明这是一个触发mod_security规则的机器人。它将在整个互联网上搜索网站，试图找到配置糟糕的网络服务器加以利用。

这显示在日志文件中是一件好事，这意味着mod_security已经完成了它的工作，并检测到/防止了攻击。

Answer 2

您应该能够通过查看应该在“23”行之前列出的文件并查看第23行上的内容，找出是哪条规则触发了这一点。不管是什么，都是触发警报的原因，应该有助于你缩小警戒线。