Eu fui hackeado e verifiquei os logs do nginx. Encontrei vários pedidos como este:
169.229.3.91 - - [18/Jun/2016:09:42:19 +0000] ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn" 400 173 "-" "-"
'
Eu suspeito de Ataque XML-RPC gerando a partir do meu servidor, mas não posso confirmá-lo, existe alguma maneira de converter esse código em texto legível?
Nenhuma ideia sobre o hack, mas para converter o binário você pode usar printf na linha de comando, assim:
printf %b ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn"
Ainda é ilegível.
Aqui está um decodificador interessante: link
Não é uma resposta ... mas, você está usando um sistema operacional compatível e é totalmente corrigido?
Quais são os vários componentes do addon, como Java, Nginx, banco de dados, etc, e eles são totalmente corrigidos?
E os outros servidores que você tem no mesmo domínio?