我收到了来自 vds 所在的技术支持的一封信:简单地说,“据说,您的某个站点受到攻击。已收到投诉。但我们不会说/这不是我们的责任。这是日志投诉的人。消除。更好的是,我们将为网站消除 4500。问题是我怎样才能确定这是否属实?请帮帮我
投诉人发送的日志摘录:
we detected a DOS attack from your network.
Below the logs.
------------------------------------------
МойАйПиСервера - - [05/Mar/2020:12:15:35 +0100] "GET /wp-login.php HTTP/1.1" 200 2028 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
МойАйПиСервера - - [05/Mar/2020:12:15:36 +0100] "POST /wp-login.php HTTP/1.1" 200 2423 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
МойАйПиСервера - - [05/Mar/2020:12:15:37 +0100] "GET /wp-login.php HTTP/1.1" 200 2028 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
МойАйПиСервера - - [05/Mar/2020:12:15:38 +0100] "POST /wp-login.php HTTP/1.1" 200 2391 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
МойАйПиСервера - - [05/Mar/2020:12:15:39 +0100] "GET /wp-login.php HTTP/1.1" 200 2028 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
И так далее.... на 5 страниц ворда
我正在尝试设置流量日志。
sudo tcpdump 'port 80' and src host МойАйПиСервера -w /tmp/http.log
左侧站点的日志中的传出流量已得到确认,但我仍然无法弄清楚它来自哪里 :( 也许需要另一个 tcpdump 请求?你能找出调用来自哪个文件吗?
在这种情况下,我建议您首先使用此处的提示并在您的 php 文件中查找恶意代码。
停止您的网络服务器,使用 tcpdump 检查请求是否已停止。如果它已停止,则在站点中查找恶意代码。
如果停止后对别人站点的请求没有停止,那么通过防火墙禁止80端口的外向连接,这样不会影响站点的运行(如果服务器本身没有人上网其他网站)。
换句话说,首先停止攻击并从您的请求中卸载其他人的站点,然后自行查找。我非常确定问题将通过停止 Web 服务器的第 1 点得到解决。停止后,按照上面的链接检查网站上的所有脚本。