Ich versuche herauszufinden, warum in unserem Apache-Fehlerprotokoll viele Fehler mit der Meldung „Datei existiert nicht“ erscheinen.
Datei existiert nicht: /home/FTPUSER/public_html/category, Referrer:http://www.DOMAIN.co.uk/category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0/1
(Wobei FTPUSER der cPanel-Benutzername ist)
es gibt nirgendwo im Code einen Verweis auf /home/FTPUSER/public_html/category, irgendwelche Vorschläge?
bitte beachten Sie auch, dass /category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0/1 eine Mod-Umschreibregel für cat.php?id=497 usw. ist...
Antwort1
Mir scheint, Sie sehen die Ergebnisse eines automatisierten/vorsätzlichen Angriffs auf Ihren Webserver. Jemand oder ein Programm sucht möglicherweise nach einer Anwendung, die ohne Passwort oder mit einem Standardpasswort installiert wurde, oder nach einer Anwendung mit einer bekannten Sicherheitslücke.
Wir erhalten derartige Fehlermeldungen ständig auf den von uns gehosteten Websites und können auf derartige Fehlermeldungen nicht reagieren. Wir haben entweder eine benutzerdefinierte 404-Seite oder wir geben eine benutzerdefinierte 301-Weiterleitung an die Homepage der betreffenden Site aus.
Antwort2
Sie können versuchen, das Zugriffsprotokoll für diese Domäne zu überprüfen, um zu sehen, ob ein Zusammenhang zwischen einer bestimmten Anforderung und der Entstehung dieses Fehlers besteht.
Um Ihre Protokolle zu finden, versuchen Sie Folgendes:
grep CustomLog /etc/httpd/conf/httpd.conf
Die Protokolldatei befindet sich etwa wie folgt:
/usr/local/apache/domlogs/domain.co.uk
Sie könnten dann diese Datei im Apache-Fehlerprotokoll nach der Uhrzeit durchsuchen und sehen, ob etwas angezeigt wird?
Antwort3
Meine Faustregel lautet: Wenn die Datei auf meinem Server nicht existiert (und nie existiert hat) UND die Referrer-URL eine Zillion Zeichen lang ist (und nicht von Ihrer eigenen Site stammt), ist die Wahrscheinlichkeit, dass es sich um einen Exploit-Versuch handelt, ziemlich hoch.
Wie ericmayo verwenden wir mod_rewrite, um alle 404-Fehler an die Hauptseite weiterzuleiten. Wir haben in der Vergangenheit einige Codes erstellt, bei denen referer.log auf Exploit-Versuche analysiert und alle verdächtigen Einträge in eine „Deny“-Liste aufgenommen werden. (.htaccess ist Ihr Freund)
Antwort4
Ich stimme mit k3ri und ericmayo überein – es handelt sich um einen automatisierten Exploit-Versuch.
nachdem ich über ein Jahrzehnt lang viele ähnliche Exploit-Versuche in Protokollen gesehen hatte, habe ich vor langer Zeit den Versuch aufgegeben, Referrer-IPs zu Sperrlisten hinzuzufügen - denn mit buchstäblichMillionenvon Windows-Clients, die von Bot-Herdern großer und kleinerer Art gehackt werden, entsteht letztendlich ein Lookup-Overhead fürjedenAnfrage, wodurch die Serverlatenz stärker erhöht wird, als Sie jemals durch das Herausfiltern der sich ständig ändernden Angriffsquellen gewinnen können.