Chỉ vì một cái gì đó không có ở đó, không có nghĩa là mọi người không thể yêu cầu nó;)
Nếu một khách hàng (trình duyệt web hoặc thứ gì đó khác) yêu cầu điều gì đó từ máy chủ web của bạn, thì yêu cầu này sẽ được ghi vào nhật ký truy cập - bất kể yêu cầu đó có được trả lời thành công hay không.
Ví dụ: bạn nhập sai và yêu cầu https://www.some-site.tld/newes
thay vì https://www.some-site.tld/news
. Rất có thể là máy chủ đằng sau một số trang web.tld
sẽ trả lời bằng mã phản hồi 404 (có nghĩa là "Không tìm thấy") và sẽ lưu ý yêu cầu của bạn tới tin tức mới
trong nhật ký truy cập của nó. Sau đó, quản trị viên của máy chủ này sẽ thấy tin tức mới
trong nhật ký của họ, mặc dù đường dẫn này có thể không tồn tại trên máy chủ của họ.
Hai trong số ba mục nhật ký của bạn đến từ các yêu cầu không thành công như vậy:
[26/Sep/2021:20:13:32 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 " 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/78.0.3904.108 Safari/537.36"
có nghĩa là đã có một ĐƯỢC
request on 26/Sep/2021:20:13:32 +0000, yêu cầu /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
. Máy chủ của bạn đã trả lời bằng mã phản hồi 401 (có nghĩa là "Không được phép" hoặc theo thuật ngữ của giáo dân là "Bạn không được phép đến đó").
tương tự cho
[26/Sep/2021:20:13:33 +0000] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/78.0.3904.108 Safari/537.36"
Ở đây, ai đó đã hỏi máy chủ của bạn vào ngày 26/09/2021:20:13:33 +0000 cho /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
. Máy chủ của bạn đã trả lời, một lần nữa, với mã 401.
Yêu cầu thứ ba
[26/Sep/2021:20:13:34 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 200 1298 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Tắc kè) Chrome/78.0.3904.108 Safari/537.36"
có nghĩa là ai đó đã hỏi máy chủ của bạn vào ngày 26/09/2021:20:13:33 +0000 cho /?XDEBUG_SESSION_START=phpstorm
. Trái ngược với hai yêu cầu đầu tiên, yêu cầu này đã được trả lời thành công, máy chủ của bạn đã gửi mã 200 (có nghĩa là "OK").
Bản thân việc nhận các yêu cầu như thế này không phải là vấn đề. Những kẻ tấn công sử dụng các hệ thống tự động để quét các phần lớn của Internet để tìm các lỗ hổng có thể xảy ra.Ví dụ: vì WordPress quá phổ biến nên các hệ thống như vậy cố gắng truy cập các đường dẫn WordPress nội bộ trên bất kỳ máy chủ nào mà chúng có thể truy cập được - bất kể máy chủ này đã từng cài đặt WordPress hay chưa. Nó giống như một tên trộm sắp trở thành kẻ trộm đi dọc theo con phố và kiểm tra từng ngôi nhà xem có cửa sổ nào đang mở không. Miễn là cửa sổ của bạn được đóng đúng cách, bạn có thể ổn.
Nó bắt đầu trở thành một vấn đề khi cửa sổ của bạn không phải đóng cửa đúng cách. Vì vậy, bạn vẫn phải thường xuyên xem nhật ký của mình và kiểm tra xem có yêu cầu nào về các địa chỉ có thể có vấn đề mà bạn thực sự hay không. làm có trên máy chủ của bạn.