Tengo muchos archivos php que se insertan en mi servidor con el propósito de correo no deseado.
Cuando reviso el registro de acceso de apache, me doy cuenta de la siguiente línea:
95.213.177.123 - - [07/Mar/2017:12:28:50 -0700] "POST http://check.proxyradar.com/azenv.php?auth=148891493017&a=PSCMN&i=757631275&p=80 HTTP/1.1" 404 10269 "https://proxyradar.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
¿Qué significa exactamente la línea anterior? cuando lo interpreto correctamente, alguien envía una solicitud POST al servidor, sin embargo, mi servidor respondió con una solicitud 404. ¿Podría ser la solicitud incorrecta que crea los archivos php de malware en mi servidor?
Sospecho que un servidor mal configurado es el problema. Cuando bloqueo todos los puertos excepto ftp, ssh, 80, 443, etc. los ataques no ocurren.
Sin embargo, algunos servicios necesitan puertos diferentes, especialmente para el modo FTP pasivo, se requieren puertos adicionales.
Me gustaría saber cómo entran exactamente los hackers en el servidor.
¡Gracias por cualquier consejo / puntero en la dirección correcta!