Я обслуживаю несколько статических файлов и блог WordPress на моем VPS DigitalOcean и использую dyn.com для разрешения DNS. Я заметил такие строки в журналах доступа к Apache (2.4):
xxx.xxx.xxx.xxx - - [20/Jul/2016:22:09:20 +0000] "GET /blog/wp-includes/js/wp-emoji-release.min.js?ver=4.5.3 HTTP/1.1" 304 - "http://unfamiliardomainname.com/blog/" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0"
Оказывается unfamiliardomainname.com зеркалирует мой сайт, но запрашивает файлы с моего сервера каждый раз, когда кто-то заходит на него (есть ли название для этого конкретного явления?). После фильтрации всех уникальных IP-адресов в этих строках я заметил, что все они указывают на Incapsula. Конечно, когда я останавливаю Apache и пытаюсь перейти на unfamiliardomainname.com/blog, Я получаю страницу с ошибкой Incapsula.
Я собираюсь проявить милосердие и предположить, что тот, кто владеет unfamiliardomainname.com Возможно, мой IP-адрес был у меня раньше, и я никогда не удалял этот IP-адрес из своей учетной записи Incapsula (я не уверен, как это работает с Incapsula, поэтому не стесняйтесь сообщить мне, возможно ли это вообще). Я уже сообщил об этом в Incapsula и заблокировал вредоносные IP-адреса с помощью iptables, но кроме этого, могу ли я что-нибудь сделать, чтобы подобное не повторилось снова? я использую fail2ban, Я думал о настройке фильтра. Если он уже существует, я бы хотел услышать об этом.
Вам нужна защита от горячих ссылок, вы можете сделать это с помощью Apache mod_rewrite, вот пример защиты от горячих ссылок для изображений: http://www.cyberciti.biz/faq/apache-mod_rewrite-hot-linking-images-leeching-howto/
Возможно, есть еще плагин для Wordpress, который может предотвратить это, но я не проверял.