Uau. Então sim. Eu descobri porque esses URLs continuam aparecendo no meu log 404.
Percebi um erro hoje no meu log de exceções de que um email foi rejeitado e não foi entregue. Então, eu verifico os detalhes exatos desse erro porque o e-mail não pôde ser entregue: 550 This message was classified as SPAM and may not be delivered
Então eu verifico uma ferramenta de checagem de listas negras na internet para checar onde eu estava na lista negra e por quê. E eu tenho apenas um resultado dizendo que estou na lista negra por SPAMHAUS.
Eu vou lá para o site e dou meu domínio para um check-up e, de fato. Confirma que estou na sua 'Lista de Bloqueios de Spamhaus'
Eu clico na minha entrada para mais detalhes sobre o bloco e é isso que eu vejo:
The host at this IP address is most likely compromised and
running a malicious HTTP daemon (nginx) on port 8080 (TCP)
which is being used by cybercriminals to control computers
infected with a Trojan called Feodo.
Feodo botnet controller located here:
http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/
Feodo is a sophisticated banking Trojan, used to commit
ebanking fraud. More information about this Trojan can be
found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html
To get this issue solved, you need to locate and identify
the malicious nginx daemon on the compromised server
(likely located in a hidden directoy in the /tmp/ directory)
and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS).
More information how you can secure your SSH daemon
can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362
Eu estava confuso, não tenho nenhum nginx em execução, portanto, verifiquei a data da entrada e declarei 2013-11-14 18:39:31 GMT
. Portanto, parece que o proprietário anterior desse IP estava infectado com esse botnet. O que basicamente mantém o spam desses pedidos estranhos de postagem de URLs.