logwatch のログを確認していたら、以下のようなログが出てきました。
A total of 1 sites probed the server
xxx.xxx.xxx.xxx
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP
Response 301
どうも、/etc/passwd を暴こうとしたようです。
Response 301 なので大丈夫ではないかと思うのですが、念のためネットで調べてみると、Response 200 でも問題ないようなので大丈夫そうです。
仮に /etc/passwd が漏洩していても、このサーバーには秘密鍵がないとログインできないので問題ないといえば問題ないのですが、気持ちのいいものではないですね。
よくログを確認してみると、ModSecurity でもこのアクセスを拒否していました。一安心ですね。
403 Forbidden
/?_SERVER[DOCUMENT_ROOT]=../../../../../.. … ./etc/passwd%00: 1 Time(s)
最近のログを見ていると、ModSecurity でアクセス拒否しているリクエストが増えています。
WAF (Web Application Firewall) の導入は、早めに検討した方がよさそうです。
コメント