最近、私の共有ホスティングLinuxサーバーがハッキングされ(約25のWordPressのインストールとマルウェアがあります)、アクセスログファイルを調べて、私のトラフィックがどこから来たのかを確認し始めました(エントリポイントを絞り込みたい)。 )。
リファラーが存在しないことを確認する項目が引き続き表示されます。たとえば、
103.47.135.111 - - [19/Apr/2016:01:14:53 -0600] "GET /wp-content/themes/wallstreet/style.css?ver=4.5 HTTP/1.1" 200 12562 "http://my_domain.com/yqmmfkv/Cara-pdkt-sama-cewek-lewat-hp.htm" "Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWebKit/537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53"
おすすめ人(http://my_domain.com/yqmmfkv/Cara-pdkt-sama-cewek-lewat-hp.htm)は私が知っている限り存在しません。私は404を返し、何を使用しているのか言及せず、grep -r "yqmmfkv"私のWPデータベースには存在しないようです。 style.cssファイルが存在するため、200を返す理由はわかりますが、存在しないページからどのように要求できますか?
しかも推薦者をだますとどんなゲインが得られるでしょうか?
ベストアンサー1
私たちはみんな同じウイルスに感染しているようです。マルウェア対策アンインストールプラグインを使用すると、ウイルスが複数のコンテンツ(ポルノ、リンク、画像、ビデオ、オーディオファイルなど)をインストールした/yqmmfkvディレクトリが削除され、複数のHTMLファイルも生成されます。あなたのドメインは、他の悪意のあるbase64でエンコードされたPHPで外部サイトに記録されます。私の場合は、恐ろしい小さなsupport.phpファイルです。
発信者IPアドレスのスキャンhttp://whatismyipaddress.com/ip/103.47.135.111リクエストがインドネシアのどこかから来ていることをお知らせします。あなたがそうでない場合(おそらくそうではないと思われる)、これは彼らがhttpヘッダーのhttp_refererをなりすましているという意味です。
最初にウイルスがサーバーに現れたときに、リモートstyle.cssへのパスを含むいくつかの情報を保存した可能性があります。したがって、200を使用してサイトを「ping」テストしたか、その情報にあった可能性があります。いくつかのマルウェアを含む古いファイルがインストールされました。
私がしたことは、リクエスト内のファイルパターンを検出し、.htaccessファイルを介してそのパターンへのアクセスを無効にすることだけでした。
RewriteCond %{HTTP_REFERER} .*yqmmfkv [NC] #checks for requests containing that path
RewriteRule .* - [F]
これにより、200項目でログが停止し、403 Forbiddenを含む要求が適切にブロックされます。攻撃者がブロックされた要求によって帯域幅を無駄にしないことを願っています。私には要求が停止するのに一日かかりました。これはまた、Google SEOによってあなたが降格するのに役立ちます。もちろん、Google SEOはすでにそのような攻撃を認識するのに十分スマートです。
問題は、トラフィックを発信者に戻すことです。自分のドメインのなりすましには適用できません。ブラックリストに載っている特定のIPからの要求をブロックします。以下は素晴らしい記事です。 https://raventools.com/blog/stop-referrer-spam/
IPは簡単に変更できるため、後者のどれも完璧ではありません。
なぜ推薦者をだましますか?フォルダ権限の問題を解決するためのものかもしれません。ウイルスがインストールされたら、Webサイトのファイルとフォルダのアクセス権を775に変更して、Apache Webグループ(www-dataなど)のトラフィックを許可できます。
すぐに危険にさらされるべきではありませんが、退屈するか終了するまで要求を送信するリストに追加されているようです。