Dlaczego domeny zewnętrzne pojawiają się w moich dziennikach Apache?


10

Mam kilka pozycji dziennika odnoszących się do domeny zewnętrznej - głównie rosyjskiej wyszukiwarki ( http://www.yandex.ru/ )

Jak się pojawiają w moich logach?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Odpowiedzi:


8

Sondy są wyszukiwane przez crackerów szukających otwartych serwerów proxy: niektóre (źle skonfigurowane) serwery proxy będą się łączyć z dowolną domeną, nie tylko domeną, którą powinny obsługiwać. Próbują użyć Twojego serwera do połączenia się z inną witryną i nadużycia jej.


Wpisy znajdujące się w dziennikach nie są powodem do niepokoju - chyba że działam jako pełnomocnik.
Johan

Zgadza się. Szanse na bycie publicznym proxy bez uświadomienia są dość niewielkie, zwłaszcza jeśli serwujesz swoją stronę bezpośrednio z serwera bez pośrednictwa.
Andrew Aylett,

Głupie pytanie kontrolne: dlaczego kod powrotu miałby 200, skoro Apache nie przekazuje dalej żądania?
Frank Hopkins

I aby odpowiedzieć na moje własne pytanie: może się zdarzyć, że apache jest skonfigurowany z funkcją catch all, dlatego każda domena, która nie została zmapowana, będzie obsługiwana przez tę domyślną stronę, co da kod 200 odpowiedzi (wraz z zawartością wszystkiego, co jest skonfigurowane jako domyślna strona
Frank Hopkins

3

Każdy może połączyć się z serwerem internetowym i zażądać dowolnego adresu URL od dowolnego hosta. Następnie pojawi się w twoim dzienniku. Przykład,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Otrzymasz wpis w dzienniku Apache dla www.asdfasdfasdfsdafsdf.com


Nie wiedziałem tego Właśnie wypróbowałem twój przykład i otrzymuję 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] „GET / HTTP / 1.1” 400 350 ”-„ ”-„ Brak wzmianki o asdfxxxetc Ale jeśli tak to jest - dlaczego?
Johan

Prawdopodobnie sprawdzę, czy mogą przekierować żądanie z Twojej witryny, aby ukryć swoje ślady. Sprawdź, czy możesz działać jako proxy lub sondować exploita.
Bart Silverstrim,

Musisz wydać polecenie „GET example.com HTTP / 1.1” jako prośbę o zainicjowanie serwera proxy, spróbuj tego, a (prawdopodobnie) zobaczysz to w dzienniku.
Vatine
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.