Ho molti file php che sono stati inseriti nel mio server con lo scopo della posta indesiderata.
Quando controllo il log di accesso di apache, noto la seguente riga:
95.213.177.123 - - [07/Mar/2017:12:28:50 -0700] "POST http://check.proxyradar.com/azenv.php?auth=148891493017&a=PSCMN&i=757631275&p=80 HTTP/1.1" 404 10269 "https://proxyradar.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
Che cosa significa esattamente la linea sopra? quando lo interpreto correttamente, qualcuno invia una richiesta POST al server, tuttavia il mio server ha risposto con una richiesta 404. Potrebbe essere questa la cattiva richiesta che crea i file php malware sul mio server?
Ho il sospetto che un server configurato male sia il problema. Quando blocco tutte le porte tranne ftp, ssh, 80, 443, ecc. Gli attacchi non avvengono.
Tuttavia, alcuni servizi necessitano di porte diverse, specialmente per la modalità FTP passiva sono necessarie porte aggiuntive.
Mi piacerebbe scoprire come esattamente gli hacker entrano nel server.
grazie per qualsiasi consiglio / puntatore nella giusta direzione!