Вот
ая с начала сентября (возможно), наши клиенты (тысячи по всей территории США) начали испытывать «случайные» 5-символьные альфа-пути, добавляемые к их URL-запросам с 302 ответами при запросе корня их доменов. Мы изучали все возможности, включая вредоносные программы, обновления оборудования и программного обеспечения, и не смогли найти причину.
Кто-нибудь еще сталкивался с этой проблемой и нашел причину?
Мы рады предоставить более подробную информацию об окружающей среде по мере необходимости. Некоторые подробности могут быть предоставлены через PM.
Образцы путейdomain.com/OUZPZ/
domain2.com/LVQgZ/
domain2.com/UpTZZ/
domain2.com/WNZOR/
domain3.com/UncLZ/
domain4.com/SVpjZ/
domain4.com/WOVRZ/
domain5.com/NcmUZ/
Curl Pathcurl -IL domain.com
HTTP/1.1 302 Found
Connection: close
Pragma: no-cache
cache-control: no-cache
Location: /WQiNZ/
HTTP/1.1 302 Found
Connection: close
Pragma: no-cache
cache-control: no-cache
Location: /ToNLZ/WQiNZ/
HTTP/1.1 302 Found
Connection: close
Pragma: no-cache
cache-control: no-cache
Location: /WQiNZ/
Общие замечанияМы видим это только на сайтах с включенным SSL.Wordpress многосайтовый устанавливает.Клиенты GoDaddy также сталкиваются с этой проблемой при использовании службы пересылки (см. Ссылки ниже).Мы используем только GoDaddy в качестве регистратора домена и используем внутреннюю систему DNS-серверов, основанную на маршруте AWS53.Когда мы проверяем журналы нашего сервера, мы видим еще много URL-путей этого типа. Они простираются вплоть до апреля этого года (2017), но у большинства из них есть пользовательский агент бота GoogleРегулярное выражение для поиска:/\/[a-zA-Z]{5}\//
Команда безопасности нашей компании, провайдер хостинга и Sucuri провели аудит среды и не обнаружили вредоносных программ.Плагины проверены на функциональность и ничего не найдено.Использование Let's Encrypt SSL-сертификатов.Google и хостинг-провайдер говорят, что они не имеют отношения к защите от DDoS в своих средах (см. Раздел reddit ниже).Единственная общность между Godady и нашей средой - это Linux-боксы.Статьи / Темы, связанные с темойhttp://mailman.nginx.org/pipermail/nginx/2015-December/049486.html
https://www.drupal.org/node/848972