163.172.4.153 - - [17/Oct/2017:05:51:37 +0000] "GET / HTTP/1.1" 200 57264 "https://www.mywebsite.com/" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0" "-“
‹�³IäY�ìmsÛ¶–Çßï§ÐäU3]Rø¬N§ÓöÞm»·Ùf6ÙÍîììd( 'ó©$eG}±Ÿ}AJ¶i ´p QvÒ4N"Ëâï� Ï$°Lß3‰k†ƒÿúâNÿXÔSjfy3Ì\òÅÿûßÉ«þþ~2½ÊSVDk6Çùä×÷ïßN‰I^Ml‹LHàN^¯&¯ÞäÅIM]Óš|³ÈÓ"ªãy¾›üÅËMUÄKVN©i}7ùöª®‹Ùtz{{kΛošüíÓŠEåâjº{£yU§ÉëWÍ'ÿ¹ç¥Þ p |>\BqÃǸœrÚÁ¤–5!! ïÞ,°¦é¶ú3™FË4Îú]À:¤þ×¼\3†Ç±œ ÿF7%…À´/§¸*Ò-bÉc¼¹Œñ0l@£\FÛ(ôB8ìápp89Š=h%9ZŒ± Š4ÂApeã9bCH2TWy±œŠ€6%Š2—Q:*ÃÛ7?Žz}Ô|K¶F'XCÁ“» —2ÆçhæB0.À;ì(…A $ ˜j[]Š_.¢ßî°Ä-C¢@½+–¤Ø¥Bh)ˆ«[€ Æîû¹[´<ªcf 0Ü,èÔLÀ‚¶Œ åPÛÀÁîe€ðßhAæKè+®ÃÚäb:fì� ß½€±ìsvÇRa…ÌÈ À@
还有更多,足以超过 ServerFault 的字符限制,所以我不得不将整个 blob 托管在其他地方。
该网站运行的是 WordPress 4.8,搭载的是 Nginx 1.13.6
更新
我使用正确的编码在 Sublime Text 中打开了整个 blob......
如果我没记错的话,那些是 ASCII 控制字符,我怀疑 nginx 正在记录 SSH 会话?
我被黑客入侵了吗?
或者我自己的 SSH 登录信息是否以某种方式输入到日志中?
或者我的怀疑完全没有根据并且有更好的解释?
答案1
我认为您已将参数添加gzip到access_log指令中,这使得 nginx 在写入日志文件时对日志文件条目使用 gzip 压缩。此外,您在进行更改后没有删除旧日志文件,因此第一行来自更改之前。
这也意味着您不能使用zcat或类似的实用程序来检查日志文件。
gzip我不太喜欢在日志文件中使用此功能。只需使用标准系统日志轮换功能来轮换日志文件,并可选择压缩较旧的日志文件。