今天,我们突然看到在wordpress网站的根文件夹中创建了两个文件-文件名owp.php 和gmail.html
在调查访问日志时,发现以下条目似乎是恶意的,与创建此文件的时间相似。
91.207.9.226 - - [23/Apr/2013:17:41:19 +0530] "GET / HTTP/1.1" 200 19928 "http://remont-mobile-phones.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.01"
91.207.9.226 - - [23/Apr/2013:17:41:21 +0530] "GET / HTTP/1.1" 200 19928 "http://remont-mobile-phones.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.01"
有谁能帮助我们理解攻击的性质和现在要采取的建议性行动吗。
SO网友:Pat J
看起来您的服务器正在使用Apache\'s Combined Log Format. 下面是日志文件行中的实际内容:
91.207.9.226 {Remote client\'s IP address}
- {Remote user ID, generally unused}
- {Authenticated user ID, unused in most cases}
[23/Apr/2013:17:41:19 +0530] {Date}
"GET / HTTP/1.1" {Request - here they asked for your site\'s home page, essentially}
200 {Status code -- 200 = Success}
19928 {Transferred data -- your homepage is 19928 bytes}
"http://remont-mobile-phones.ru/" {Referer}
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.01" {User-agent / browser}
似乎有人(或某些“机器人”或其他软件)在IP
91.207.9.226 单击指向的链接
http://[your site]/ 现场地址:
http://remont-mobile-phones.ru/.
这两个条目在我看来很无辜——尽管我承认我不是专家。您的访问或错误日志中是否同时存在任何内容?
