Итак, я узнал, что сайт на моем сервере получает сотни тысяч запросов в день, поэтому я проверил выход из системы.
Я нашел буквально тысячи строк ниже:
103.67.235.89 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
198.71.228.64 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
150.95.105.161 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
93.174.127.11 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
77.72.1.34 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 200 3964 "-" "-"
103.4.213.6 - - [18/Oct/2017:06:27:26 +0100] "GET /plugin-notices.php HTTP/1.0" 301 576 "-" "-"
Это нормально для установки WordPress? Или меня взламывают?
Есть ли способ предотвратить это. Все они кажутся запросами HTTP 1.0, которые я уже заблокировал через .htaccess, поэтому не совсем уверен, что происходит?
Глядя на ваши журналы, я бы сказал, что вас уже взломали.
Все эти IP-адреса ищут только одну страницу, которая, вероятно, является вредоносной программой, и, вероятно, все они (я тестировал 4) - это другие сайты, уже взломанные (смотрите сами, просто скопируйте / вставьте IP-адрес в свой браузер, они все сайты).
Теперь я бы остановил apache, поискал этот файл и посмотрел, что это такое.
Быть в курсе, иногда вы видите совершенно чистый файл, но, прокручивая вправо, как 200 символов, вы обнаруживаете вредоносный код. Это случилось со мной много лет назад, вначале было загадкой ..
После подтверждения, что это троян (или что-то еще), удалите плагин, проверьте все другие плагины и, возможно, проверьте конфигурацию apache, возможно, есть какая-то дыра, которая позволила этому коду попасть на ваш сервер.