所以我意识到,我的服务器上的一个网站是每天获得成千上万的请求,所以我检查了访问日志。
我发现字面上有如下几千行:
103.67.235.89 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-" 198.71.228.64 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-" 150.95.105.161 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-" 77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-" 93.174.127.11 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-" 77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-" 103.4.213.6 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-" 这是正常的WordPress安装? 还是我被黑客攻击?
有没有办法来防止这一点。 他们似乎都是HTTP 1.0请求,我已经通过.htaccess阻止,所以不太确定是怎么回事?
看看你的日志,我会说你已经被黑客入侵了。
所有这些IP只查找一个页面,这可能是一个恶意程序,并且可能所有这些(我testing过的4)都是其他已经被黑客入侵的网站(请看你自己,在你的浏览器中复制/粘贴一个IP,他们都是网站)。
现在,我会停止Apache,search该文件,并检查它是什么。
请注意 ,有时您会看到一个完全干净的文件,但是像200个字符一样滚动到右侧,就会发现恶意代码。 这发生在我几年前,一开始是一个谜。
一旦确认这是一个木马(或其他),删除插件,检查所有其他插件,也许检查你的Apacheconfiguration,也许有一些漏洞,让代码进入你的服务器。