django - 黑客是如何产生这个 GET 请求的？

Question

我即将上线一个网站并解决安全问题。该网站已经公开了一段时间，但没有链接到搜索引擎。

我记录了所有传入的请求，今天注意到了这个:

GET /home/XXXXX/code/repositories/YYYYY-website/templates

其中 XXXXX 是我服务器上的 sudo 用户，而 YYYYY 是我的公司名称。
这实际上是我的 Django 项目代码的结构。
我的网站使用 Django 编码，并在 Ubuntu 上的 Apache2 下运行。
我的问题是这个人怎么可能知道我服务器上的底层代码/目录结构，以便创建这个请求？

他们的 IP 是:66.249.65.221。
他们以 100% 的黑客身份出现在 https://ip-46.com 上

欢迎任何贡献。

EDIT1 25/11/2019

来自 Loïc 的一些有用信息，我做了一些调查。

就登录而言，Ubuntu 18.04 服务器已被锁定-您只能使用我的一个私钥进入。 PostgreSQL 被锁定——它只接受来自我的开发机器所在的一个 IP 的连接。 RabbitMQ 被锁定 - 它不会接受任何外部传入连接。 robots.txt 允许所有抓取，但 robots 元数据仅限制对大约 12 个页面的访问。

了解 Django 的人如果知道 Django 项目目录，就会知道如何形成这个目录路径，但他们也有这个相对于服务器上的根目录的路径。唯一可用的地方是 Apache2 配置文件。显然 Apache 需要知道从哪里获取 Django Web 服务器。

我 99% 确信这个“黑客”是通过某种对 Apache 的命令得到的。一切都被重定向到端口 443 https。上面的 GET 请求实际上并没有做任何事情，因为 url 不存在。

所以要让问题更细化。黑客如何从我的 Apache2 配置文件中提取我的 Django 绝对项目路径？

Answer 1

有很多不同的方法可以了解给定服务器的目录结构。

最简单的通常是错误日志；
如果在您的 django 设置中，DEBUG设置为 True ，攻击者很容易获得你项目的目录结构。

然后是 LFI，这是一个允许攻击者读取本地文件的安全问题。然后可以读取一些日志或 apache 配置以了解您的项目目录是什么......

问题也可能来自您服务器上运行的另一个服务......

关于这个话题，人们无法真正给你一个完整的答案，因为有很多不同的方式可能会发生这种情况。