Uma pesquisa no Google pelo nome do arquivo revela algumas cópias do seu arquivo de registro e apenas um outro, que parece ser log de upload de algum serviço. Você deve saber se esse log está relacionado ao seu site, não estou.
Nenhum desses cinco endereços IP aparece nesse log de upload, o que não nos diz muito. Os nomes dos arquivos no log de upload parecem legítimos para mim. Se o conteúdo desses arquivos corresponde aos seus nomes é impossível dizer, sem conhecer o conteúdo.
O que originalmente poderia ter sido em um arquivo chamado updatedll.jpg
? Eu estou supondo que alguém fez um screenshot de como atualizar alguns dll e enviá-lo para um serviço para compartilhá-lo com os outros. O compartilhamento provavelmente não aconteceu em um fórum público, porque eu teria encontrado mais acessos para ele.
Por que alguém acha que o arquivo reside em seu host? Eu não sei. Acho útil incluir \"%{Host}i\"
no Apache LogFormat
.
Quanto ao código de status, você pode primeiro tentar acessar o nome do arquivo para ver como ele se parece no arquivo de log. Se você obtiver um código de status diferente, algo deve ser diferente entre sua própria solicitação para o arquivo e o deles.
Se você não conseguir descobrir como reproduzir exatamente o mesmo código de status, tente produzir um dump de pacote de tráfego. Você poderia usar algo como tcpdump -pni eth0 -s0 -Uw output.pcap 'host 201.4.132.43 || host 187.40.241.48 || host 186.56.134.132 || host 71.223.252.14 || host 85.245.229.167'
Mais tarde, você pode inspecionar a saída usando o Wireshark para ver exatamente como são as solicitações. Lembre-se de usar uma versão atualizada do Wireshark caso alguém esteja realmente tentando explorar uma vulnerabilidade no Wireshark. Depois de ter visto a solicitação exata, você poderá reproduzir a resposta por meio de um comando telnet.