Мне нравится аббревиатура RAT (троян удаленного доступа), потому что она напоминает другой тип вещей, от которых вам нужно избавиться на своей кухне, и потому что, когда вы избавляетесь от одного и находите дыру, которую она проделала, исправляете дыру и устанавливаете ловушки и потратьте свое время на то, чтобы проникнуть в разум крысы, вы все равно не сможете по-настоящему избавиться от всего, пока не перестроите свой дом из бетона.
В .htaccess предложенной временной мерой для работы со взломанным сервером может быть:
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !123.456.789.000
RewriteRule .* /nopost.html [R=301,L]
Некоторые крысы какают у вас на кухне, некоторые помогают другим крысам, а некоторые воруют вашу еду.
Учитывая, что access.log показывает целую нагрузку запросов POST, выполняемых для этих внедренных файлов с кодировкой base64, правильно ли предположить, что предотвращение запросов POST, как указано выше, решит проблему дальнейшего размножения этих вредителей, не говоря уже о том, что им не будет разрешено ПОСТАТЬ тем временем на кухонный пол?
Или это просто остановит отложения крыс?
Это может остановить некоторые определенные бэкдоры, которые принимают только запросы POST. Но бэкдоры в целом это не остановит.
Бэкдор может принимать параметры через запрос GET, например bad.php? command = somecommand. Или он может выполнять команды, отправленные через настраиваемый заголовок HTTP.