Fala Pessoal,

 

tenho um VPS na OVH. Hoje visualizando algumas mensagens no Mod Security pelo WHM, vi um domínio que definitivamente não hospedei.

 

Fui no List Accounts para confirmar e nada, realmente não criei essa conta. E dando um ping nesse bem dito domínio mostra o mesmo IP do meu VPS.

 

O que ocorre? Confesso que me assustei.

 Pode ser um domínio adicional ou estacionado em alguma conta? Ou uma entrada DNS?

Verifiquei isso também e não é. Entrada DNS também não, engraçado que ao abrir esse domínio ele cai na Default Page.

Ou pode ser um cliente seu que tem estacionado na hospedagem e coloca esse domínio.

 poderia passar o domínio? (manda por MP), assim eu posso verificar as configurações dele.

Mesmo não tendo criado o domínio no servidor, caso seja apontado um registro A vai responder pela default page?

 Por SSH, executa

 

 # /scripts/whoowns "dominio"

 

 Manda o resultado

Não encontrou nada.

É, acho que é somente um registro A equivocado.

 Pelo que vi aqui, parece só mesmo uma entrada A apontado para seu IP, mas o estranho é dar erro no mod_security.

 Se quiser postar o erro do mod_securty, eu dou uma olhada.

Veja por favor, ainda não entendo eles suficiente.

Access denied with code 501 (phase 2). Pattern match "(?:\\b(?:(?:n(?:et(?:\\b\\W+?\\blocalgroup|\\.exe)|(?:map|c)\\.exe)|t(?:racer(?:oute|t)|elnet\\.exe|clsh8?|ftp)|(?:w(?:guest|sh)|rcmd|ftp)\\.exe|echo\\b\\W*?\\by+)\\b|c(?:md(?:(?:32)?\\.exe\\b|\\b\\W*?\\/c)|d(?:\\b\\W*?[\\\\/]|\\W*?\\.\\.)|hmod.{0,40}? ..." at REQUEST_HEADERS:User-Agent. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "146"] [id "1234123446"] [msg "System Command Injection"] [data "; mail"] [severity "CRITICAL"] [tag "WEB_ATTACK/COMMAND_INJECTION"]