Estoy usando VPS hosting basado en Linux, y un firewall y mod_sec ayudan a mantener a la mayoría de los piratas informáticos. Sin embargo, en las últimas semanas noté varias entradas en mod_sec que mostraban que un dominio desconocido fue atacado. ¿Esto significa que el VPS está comprometido (no veo ninguna entrada de DNS desconocida) y que otros dominios están obteniendo un viaje gratis, o simplemente apunta a una configuración descuidada del servidor VPS?
Si mod_sec muestra que un dominio desconocido fue atacado, entonces es posible que todavía tenga una configuración de vhost predeterminada en el servidor.
El vhost predeterminado en la mayoría de las distribuciones no tiene asociado un Nombre de servidor, por lo que responderá a todas las solicitudes que no coincidan con una directiva de Nombre de servidor en otro host virtual. Probablemente sea una buena idea desactivar el vhost predeterminado si no lo necesita.
Como los paquetes mencionados en su comentario, la publicación de algunos archivos de registro ayudaría a diagnosticarlo aún más.
Asegúrese de que mod_security esté bloqueando los ataques en lugar de solo registrarlos.
Mod Security producirá muchas entradas de registro. La mayoría de estas cuestiones no son nada de qué preocuparse. Muchas veces es un bot que intenta un puñado de ataques contra una gran cantidad de hosts. Lo más probable es que no eres vulnerable.
Lea otras preguntas en las etiquetas operating-systems webserver linux mod-security