Estoy tratando de averiguar por qué recibimos muchos errores en nuestro registro de errores de Apache que dicen "El archivo no existe:", por ejemplo.
El archivo no existe: /home/FTPUSER/public_html/category, referente:http://www.DOMAIN.co.uk/category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0/1
(Donde FTPUSER es el nombre de usuario de cpanel)
no hay una referencia a /home/FTPUSER/public_html/category en ninguna parte del código, ¿alguna sugerencia?
tenga en cuenta también que /category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0/1 es una regla de reescritura de mod para cat.php?id=497, etc.
Respuesta1
Me parece que está viendo los resultados de algún tipo de ataque automatizado/deliberado en su servidor web. Alguien o algún programa está buscando una aplicación que posiblemente se instaló sin contraseña o con una contraseña predeterminada o una aplicación con una vulnerabilidad conocida.
Los recibimos todo el tiempo en los sitios web que alojamos y para algo como esto, tampoco podemos responder, tenemos una página 404 personalizada o emitimos un 301 personalizado a la página de inicio del sitio en cuestión.
Respuesta2
podría intentar consultar el registro de acceso de ese dominio para ver si existe alguna correlación entre una solicitud específica y la generación de ese error.
Para encontrar sus registros, intente algo como esto:
grep CustomLog /etc/httpd/conf/httpd.conf
El archivo de registro estará en algún lugar como:
/usr/local/apache/domlogs/domain.co.uk
¿Podrías buscar este archivo durante el tiempo desde el registro de errores de Apache y ver si muestra algo?
Respuesta3
Mi regla general habitual es que si el archivo no existe (y nunca existió) en mi servidor, Y si la URL de referencia tiene millones de caracteres (y no es de su propio sitio), las posibilidades de que se trate de un intento de explotación son bajas. bastante bien.
Al igual que ericmayo, utilizamos mod_rewrite para reenviar cualquier 404 al sitio principal. En el pasado, hemos realizado algo de codificación en la que referer.log se analiza en busca de intentos de explotación y cualquier entrada sospechosa se coloca en una lista de "negación". (.htaccess es tu amigo)
Respuesta4
Estoy con k3ri y ericmayo: es un intento de explotación automatizado.
Después de haber visto muchos intentos de explotación similares en registros durante más de una década, hace mucho tiempo que dejé de intentar agregar direcciones IP de referencia a listas de denegación, porque con literalmentemillonesde clientes de Windows manipulados por pastores de bots grandes y pequeños, terminas creando una sobrecarga de búsqueda paracadasolicitud, aumentando así la latencia del servidor más de lo que podría ganar al filtrar las fuentes de ataque en constante cambio.