То, что чего-то нет, не означает, что люди все равно не могут этого попросить;)
Если клиент (веб-браузер или что-то еще) запрашивает что-то с вашего веб-сервера, этот запрос регистрируется в журнале доступа - независимо от того, был ли ответ на запрос успешно или нет.
Скажем, например, вы опечатались и запрашиваете https://www.some-site.tld/newes вместо https://www.some-site.tld/новости. Скорее всего, сервер позади некоторый-site.tld ответит с кодом ответа 404 (что означает «Не найдено») и отметит ваш запрос на новичок в своем журнале доступа. Тогда администратор этого сервера увидит новичок в их журналах, хотя этот путь, вероятно, не существует на их сервере.
Две из трех ваших записей в журнале были получены из таких неудачных запросов:
[26/Sep/2021:20:13:32 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 " 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/78.0.3904.108 Safari/537.36"
значит был ПОЛУЧАТЬ запрос от 26.09.2021:20:13:32 +0000, запрос /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21. Ваш сервер ответил с кодом ответа 401 (что означает «Неавторизованный», или, говоря простым языком, «Вам не разрешено туда заходить»).
Аналогично для
[26/Sep/2021:20:13:33 +0000] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/78.0.3904.108 Safari/537.36"
Здесь кто-то попросил ваш сервер 26 сентября 2021: 20: 13: 33 +0000 для /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php. Ваш сервер снова ответил кодом 401.
Третий запрос
[26/Sep/2021:20:13:34 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 200 1298 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, как Gecko) Chrome/78.0.3904.108 Safari/537.36"
означает, что кто-то запросил ваш сервер 26 сентября 2021:20:13:33 +0000 для /?XDEBUG_SESSION_START=phpstorm. На этот запрос, в отличие от первых двух, ответили успешно, ваш сервер отправил код 200 (что означает «ОК»).
Получение таких запросов само по себе не должно быть проблемой. Злоумышленники используют автоматизированные системы для сканирования больших участков Интернета на наличие возможных уязвимостей.Например, поскольку WordPress настолько широко распространен, такие системы пытаются получить доступ к внутренним путям WordPress практически на любом сервере, до которого они могут дотянуться, независимо от того, видел ли этот сервер когда-либо установку WordPress или нет. Это как грабитель, идущий по улице и проверяющий каждый дом на наличие открытого окна. Пока ваши окна должным образом закрыты, вы, вероятно, в порядке.
Это начинает быть проблемой, когда ваши окна не правильно закрыты. Таким образом, вам все равно придется регулярно просматривать свои журналы и проверять, есть ли запросы на потенциально проблемные адреса, которые вы на самом деле делать иметь на своем сервере.
