Apache 로그 파일 - 참조 URL이 존재하지 않습니다.

우리 모두는 같은 바이러스에 감염된 것 같습니다. 맬웨어 방지 제거 플러그인을 사용하면 바이러스가 여러 콘텐츠(포르노, 링크, 이미지, 비디오, 오디오 파일 등)를 설치한 /yqmmfkv 디렉터리가 삭제되고 여러 HTML 파일도 생성됩니다. 귀하의 도메인은 다른 악의적인 base64로 인코딩된 PHP와 함께 외부 사이트에 기록됩니다. 제 경우에는 끔찍한 작은 support.php 파일입니다.

발신자 IP 주소 스캔http://whatismyipaddress.com/ip/103.47.135.111요청이 인도네시아 어딘가에서 오고 있다는 것을 알려줄 것입니다. 귀하가 아닌 경우(아마도 아닐 것으로 생각됩니다) 이는 단지 그들이 http 헤더의 http_referer를 스푸핑하고 있다는 의미일 뿐입니다.

처음에 바이러스가 서버에 나타났을 때 원격 style.css에 대한 경로를 포함한 일부 정보를 저장했을 수 있습니다. 따라서 200을 사용하여 사이트를 "ping" 테스트했거나 해당 정보에 있었을 수도 있습니다. 일부 악성코드가 포함된 이전 파일이 설치되었습니다.

내가 한 일은 요청에서 파일 패턴을 감지하고 .htaccess 파일을 통해 해당 패턴에 대한 액세스를 비활성화하는 것뿐이었습니다.

RewriteCond %{HTTP_REFERER} .*yqmmfkv [NC] #checks for requests containing that path
RewriteRule .* - [F]

이렇게 하면 200개 항목에서 로그가 중지되고 403 Forbidden이 포함된 요청이 적절하게 차단됩니다. 공격자가 차단된 요청으로 인해 대역폭을 낭비하지 않기를 바랍니다. 저에게는 요청이 중지되는 데 하루가 걸렸습니다. 이는 또한 Google SEO에 의해 귀하가 강등되는 데 도움이 될 것입니다. 물론 Google SEO는 이미 그러한 공격을 인식할 만큼 똑똑할 수도 있습니다.

문제는 트래픽을 발신자에게 다시 돌리는 것입니다. 자신의 도메인을 스푸핑하는 데에는 적용할 수 없습니다. 블랙리스트에 올라 있는 특정 IP의 요청을 차단합니다. 다음은 훌륭한 기사입니다. https://raventools.com/blog/stop-referrer-spam/

IP는 쉽게 변경될 수 있으므로 후자 중 어느 것도 완벽하지는 않습니다.

왜 추천인을 속이나요? 폴더 권한 문제를 해결하기 위한 것일 수도 있습니다. 바이러스가 설치된 후 웹 사이트 파일 및 폴더의 액세스 권한을 775로 변경하여 Apache 웹 그룹(예: www-data)의 트래픽을 허용할 수 있습니다.

즉각적인 위험에 처해서는 안 되지만, 지루해지거나 종료될 때까지 계속 요청을 보내는 목록에 추가된 것 같습니다.