因此我意识到我的服务器上的一个站点每天会收到数十万个请求,因此我检查了访问日志。
我发现了以下数千行内容:
103.67.235.89 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
198.71.228.64 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
150.95.105.161 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
93.174.127.11 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
103.4.213.6 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
对于 WordPress 安装来说,这是否正常?还是我被黑客入侵了?
有没有什么方法可以防止这种情况发生。它们似乎都是 HTTP 1.0 请求,我已经通过 .htaccess 阻止了它们,所以不太清楚发生了什么?
答案1
查看你的日志,我会说你已经被黑客入侵了。
所有这些 IP 都在寻找一个页面,该页面可能是恶意程序,并且可能所有 IP(我已经测试了 4 个)都是已经被黑客入侵的其他网站(自己看看,只需在浏览器中复制/粘贴 IP,它们都是网站)。
现在,我将停止 apache,搜索该文件并检查它是什么。
意识到,有时你会看到一个完全干净的文件,但在右侧滚动大约 200 个字符时,你就会发现恶意代码。几年前我就遇到过这种情况,一开始是个谜。
一旦确认那是木马(或其他什么),请删除该插件,检查所有其他插件,并检查你的 apache 配置,也许存在一些漏洞允许该代码进入你的服务器。