Я пытаюсь понять, почему в журнал ошибок Apache поступает много ошибок, в которых говорится: «Файл не существует:», например:
Файл не существует: /home/FTPUSER/public_html/category, реферер:http://www.DOMAIN.co.uk/category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0-0/1
(Где FTPUSER — имя пользователя cpanel)
нигде в коде нет ссылки на /home/FTPUSER/public_html/category, есть какие-нибудь предложения?
также обратите внимание, что /category/epson-stylus-c40sx/497/0-0-0-0-0-0-0-0/1 — это правило перезаписи мода для cat.php?id=497 и т. д.
решение1
Мне кажется, что вы видите результаты какой-то автоматизированной/преднамеренной атаки на ваш веб-сервер. Кто-то или какая-то программа ищет приложение, возможно, установленное без пароля или с паролем по умолчанию, или приложение с известной уязвимостью.
Мы постоянно сталкиваемся с подобными ситуациями на веб-сайтах, хостинг которых мы осуществляем, и на подобные сообщения мы не можем отреагировать, у нас либо есть специальная страница 404, либо мы отправляем специальную страницу 301 на домашнюю страницу соответствующего сайта.
решение2
Вы можете попробовать просмотреть журнал доступа для этого домена, чтобы увидеть, есть ли какая-либо взаимосвязь между конкретным запросом и возникновением этой ошибки.
Чтобы найти свои журналы, попробуйте сделать что-то вроде этого:
grep CustomLog /etc/httpd/conf/httpd.conf
Файл журнала будет выглядеть примерно так:
/usr/local/apache/domlogs/domain.co.uk
Затем вы можете выполнить grep этого файла на предмет времени из журнала ошибок Apache и посмотреть, покажет ли это что-нибудь?
решение3
Мое обычное правило заключается в том, что если файл не существует (и никогда не существовал) на моем сервере, И если URL-адрес реферера содержит миллион символов (и не относится к вашему сайту), то вероятность того, что это попытка эксплойта, довольно высока.
Как и ericmayo, мы используем mod_rewrite для пересылки любых 404 на основной сайт. В прошлом мы делали кодирование, где referer.log анализировался на предмет попыток эксплойта, а все подозрительные записи помещались в список «запрещенных». (.htaccess — ваш друг)
решение4
Я согласен с k3ri и ericmayo — это автоматизированная попытка эксплойта.
наблюдая за множеством подобных попыток эксплойта в журналах на протяжении более чем десятилетия, я давно отказался от попыток добавить IP-адреса рефереров в списки запрещенных адресов — потому что буквальномиллионыклиентов Windows, захваченных большими и малыми бот-пастухами, вы в конечном итоге создаете накладные расходы на поисккаждыйзапроса, тем самым увеличивая задержку сервера больше, чем вы могли бы получить, отфильтровывая постоянно меняющиеся источники атак.