Migliaia di 404 da vari motori di ricerca

Naviga le tue risposte
0

Dall'inizio di aprile 2015, il mio sito web ha ricevuto migliaia di richieste da molti motori di ricerca per URL che non esistono e mai esistito.

Ho trovato un simile, ma meno dettagliato, domanda di stackexchange . Quella domanda ha Google, Bing, Yahoo, Yandex e "qualche posto nel Regno Unito", proprio come noto nella mia descrizione qui sotto.

Quindi la mia domanda è: come fa qualcuno a ottenere almeno 5 motori di ricerca per iniziare a chiedere a un sito una pila degli stessi URL tutto in una volta?

Per quanto posso dire, il numero massimo di richieste al secondo è 16, per 2015-06-11T18: 51: 11-0600, 8 richieste ciascuna da 207.46.13.99 e 207.46.13.106. Entrambi sono in un netblock Microsoft e si identificano come "bingbot". Capisco che i motori di ricerca più affidabili si strozzano, ma il 16 al secondo non fa quasi schifo.

Solo per risolvere alcune probabili risposte, il mio sito non ha e non ha mai avuto file che corrispondano a questi URL. Per quanto posso dire, nessuno ha provato a spostare file con questi nomi sul mio sito. Né httpd.conf o .htaccess file hanno regole mod_rewrite che forniscono risposte HTTP 301 o 302 per questi URL. Il mio sito non ha strani file PHP in giro che potrebbero reindirizzare o gateway questi URL da qualche altra parte.

Tutti gli URL sono per nome di dominio (esempio.com), non per indirizzo IP. Per quanto ne so, sono l'unico a usare quel nome di dominio. Allo stesso modo, l'indirizzo IP per esempio.com è rimasto invariato per alcuni anni. I file access_log risalgono all'11 / feb / 2009 e questo tipo di URL non viene visualizzato fino al 9 aprile 2015.

Inoltre, fino al 2015-08-22, il mio set 404.php è stato reindirizzato su "shock porn" per uno qualsiasi dei componenti URL elencati di seguito. Non pensavo che qualcuno sarebbe stato abbastanza completo da provare quegli URL. Mi scuso umilmente per non aver creduto che le persone fossero sincere e complete. Dal momento che mobody ma search engies e spider cercano quegli URL (sul mio sito), ho eliminato quella funzione.

Devo aggiungere che sto utilizzando un contenitore di miele WordPerfect per raccogliere le password utilizzate dai router WP e raccogliere malware PHP. In realtà non eseguo affatto WordPerfect. Se richiedi un URL con wp-login.php, ottieni un accesso WP simulato.

Puoi vedere il mio articolo qui , ma quello era un vaso di miele precedente. L'ho completamente riscritto.

Una delle mie teorie era che le richieste di URL porno sono una specie di tentativo DDOS da parte di spammer / hacker che sono stati catturati nel mio vaso di miele, e in realtà l'hanno realizzato.

Ecco i dettagli:

Motori di ricerca che richiedono URL inesistenti, in base alle stringhe degli user agent:

  • Google
  • Bing
  • Majestic12 (?)
  • Yandex
  • Baidu
  • Yahoo
  • Yahoo Japan ("Y! J")
  • Sogou web spider
  • Yisou

Ho installato httpd Apache in modo che la pagina 404 sia uno script PHP che registra tutti i valori di $_SERVER , $_REQUEST , $_COOKIE e $_FILE , quindi sono abbastanza sicuro delle stringhe degli user-agent, Indirizzi IP e così via, e che il server sta trovando gli URL in questione inesistenti. Ho ricontrollato alcuni indirizzi IP. Gli indirizzi che ho selezionato corrispondevano alle stringhe degli user agent.

Il mio server invia fino a 6000 richieste al giorno per quello che sembra essere il porno indiano o indonesiano. Alcuni URL di esempio: 

/egblzsd/foto-bugil-cewek-indonesia-dunia-panas.html
/egblzsd/WWW-Hiroin-Alia-Bhat-Hot-Sexy-Nude-phato-in.html
/xvlgorj/mallu-anty-faking-images.html

Ce ne sono molti altri. Se trovo google per "foto-bugil-cewek-indonesia-dunia-panas.html", vedo alcune immagini semi-scandalose, ma molti "nomi di file", se cercati su Google, portano a 404 pagine altrove.

Ogni URL include un componente come questo: 

/zyjos/
/jhkbla/
/fakfxs/
/egblzsd/
/xvlgorj/
/vkbjnid/
/phxyy/
/lfgkvol/
/vnkdax/
/sxzocl/
/zfkdoh/
/brungh/
/bumlefz/
/tyndst/

Tutte queste stringhe fanno apparire molti risultati di ricerca su Google, per lo più apparentemente abbozzati siti porno indonesiani o altri siti hinky. Seguendo i collegamenti, ottengo un sacco di 404.

    
posta Bruce Ediger 22.08.2015 - 00:58
fonte

1 risposta

4

Il tuo sito web è stato compromesso.

Qualsiasi richiesta che includa un componente URL elencato da te conduce a un reindirizzamento permanente 301 a un sito porno a caso che pubblica annunci pubblicitari. 

GET /phxyy/whatever HTTP/1.1
Host: stratigery.com
Accept: */*


HTTP/1.1 301 Moved Permanently
Date: Sat, 22 Aug 2015 02:17:04 GMT
Server: Apache/2.4.16 (Unix) PHP/5.6.12
X-Powered-By: PHP/5.6.12
Location: http://www.somepornsite.massorgy/
Content-Length: 0
Content-Type: text/html; charset=UTF-8

Va notato che il reindirizzamento è fornito dal tuo server, che può solo significare che il tuo server (non il server dei nomi autorevole ) è compromesso.

Cosa dovresti fare:

Prendi il tuo sito web e cerca le seguenti posizioni per i segni di codice offuscato: 

/index.php
/wp-config.php (if using WordPRess)
/configuration.php (if using Joomla)
/wp-content/themes/yourtheme/functions.php (if using WordPress)

Se non si dispone di quanto sopra, cercare i file contenenti lunghe code di codice. Dato che stai usando Linux, puoi provare quanto segue: 

$ grep -rl --exclude-dir={image_folder} ".\{1000\}" /var/www

Inoltre, per cercare altrove il codice offuscato, prova questo: 

$ grep -rE --exclude-dir={image_folder} "eval|GLOBALS|error_reporting|chr\(|\\x?[0-9]{2}\\" /var/www

Sebbene tu abbia menzionato che hai controllato i tuoi file di configurazione del server, ti consiglio vivamente di farlo di nuovo.

Dopo aver verificato la causa, il passaggio successivo è reinstallare il server con gli ultimi aggiornamenti di sicurezza e data dell'ultimo backup valido noto per eliminare qualsiasi possibilità di backdoor non ancora scoperti.

    
risposta data 22.08.2015 - 04:45
fonte

Leggi altre domande sui tag

Quali sono le vulnerabilità per rivelare gli indirizzi IP nel codice PGP su Dark Net Markets: quali minacce controlla?