При отслеживании PHP-уведомления WordPress в canonical.php, где parse_url () создал массив без записи path, мы обнаружили эту связанную строку (с соответствующим перенаправлением 301) в журнале доступа:
188.165.XXX.XXX - - [29 / июн / 2016: 07: 58: 34 +0200] "GET? Subject = Company-Name - Связаться через веб-сайт HTTP / 1.1" 301 - "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; de; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "1603141 430 520
188.165.XXX.XXX - - [29 / июн / 2016: 07: 58: 36 +0200] "GET /? Subject = Company-Name HTTP / 1.1" 200 4908 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; de; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "404908433 5445
Кажется, это какой-то бот, который берет существующую ссылку mailto: с сайта и пытается получить к ней доступ через http: .. и, наконец, оказывается на главной домашней странице.
Обратите внимание отсутствует ведущая косая черта в первом запросе GET.
Есть идеи, как это может / происходит?
Пытался воспроизвести такие записи с помощью php file_get_contents () или curl и тому подобного, но безрезультатно, всегда имел ведущую косую черту в журнале доступа.
Веб-сайт находится на каком-то виртуальном хостинге, phpinfo сообщает: "Linux vhost01 3.16.0-4-amd64 # 1 SMP Debian 3.16.7-ckt20-1 + deb8u3 (2016-01-17) x86_64" с "CGI / FastCGI" и " Обработчик Apache 2.0 »в модулях SAPI. Не вижу точно, какая версия Apache 2 :-(
Редактировать: Все остальные записи журнала имеют начальную косую черту.
Я бы сказал, что это воспроизведет проблему:
echo -e "GET ?subject=Company-Name HTTP/1.1\r\nHost: www.example.com\r\n\r\n" | nc <your IP> 80
Что касается того, почему это происходит, то ваше предположение (что кто-то сканирует ссылки mailto) вполне правдоподобно. Многие глупые люди пишут программы.