Журналы доступа к apache: огромное количество записей
Итак, я узнал, что сайт на моем сервере получает сотни тысяч запросов в день, поэтому я проверил выход из системы доступа.
Я нашел буквально тысячи строк ниже:
103.67.235.89 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
198.71.228.64 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
150.95.105.161 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
93.174.127.11 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
103.4.213.6 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
Это нормально для установки WordPress? Или меня взломают?
Есть способ предотвратить это. Все они кажутся запросами HTTP 1.0, которые я уже заблокировал через .htaccess, так что не совсем понимаете, что происходит?
Глядя на ваши журналы, я бы сказал, что вы уже были взломаны.
Все эти IP-адреса ищут только одну страницу, которая, вероятно, является вредоносной программой, а возможно и всеми ими (Я тестировал 4), были ли уже взломаны другие сайты (убедитесь сами, просто скопируйте / вставьте IP-адрес в своем браузере, это все веб-сайты).
Теперь я бы остановил apache, поискал этот файл и проверил, какой
Имейте в виду , иногда вы видите совершенно чистый файл, но, прокручивая вправо, например, 200 символов, вы обнаруживаете вредоносный код. Это случилось со мной много лет назад, вначале было загадкой ...
После подтверждения того, что это троян (или что-то еще), удалите плагин, проверьте все другие плагины и, возможно, проверьте конфигурацию вашего apache, может быть, есть какая-то дыра, которая позволил этому коду попасть на ваш сервер.