Por que meus logs de acesso do Apache mostram solicitações GET do IP do meu roteador?

Navegue suas respostas
2

Eu configurei um servidor web doméstico em fevereiro em um Raspberry Pi executando o Arch Linux e o Apache. Eu habilitei o encaminhamento de porta no meu roteador e o servidor funcionou conforme o esperado. Eu recebo as tentativas padrão para acessar o phpmyadmin de IPs que remontam à China, mas não houve nada incomum até 22 de abril, quando comecei a receber estes:

$ grep '192.168.0.1' 'access_log.1'
192.168.0.1 - - [22/Apr/2013:07:33:29 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:11:33:12 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:15:33:13 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:20:14:03 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:06:40:03 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:08:52:22 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:10:14:51 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:10:18:49 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:10:38:12 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:14:38:11 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:18:38:11 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [24/Apr/2013:07:00:44 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [24/Apr/2013:11:00:42 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [24/Apr/2013:12:25:52 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [24/Apr/2013:16:25:48 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [25/Apr/2013:06:47:46 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [25/Apr/2013:10:47:30 +0100] "GET / HTTP/1.1" 200 264

O roteador é um Sagecom da marca Sky Broadband com firmware de marca; o gerenciamento remoto está desativado e a senha do administrador foi alterada meses atrás para uma cadeia de 20 caracteres que somente meu gerenciador de senhas conhece. Não há nenhum padrão correspondente entre os logs do roteador e os logs do servidor. Não houve alterações no servidor ou na minha rede no dia 22 que me lembro. Essas entradas apareceram cinco ou seis vezes por dia desde então.

Isso é algo para se preocupar? Existe uma maneira de parar esses pedidos? Tendo a lista negra do Apache, o IP do roteador parece causar problemas.

Obrigado.

    
por user222609 07.05.2013 / 14:46

1 resposta

3

Essas solicitações não são imediatamente preocupantes. Se alguém tiver permissão para acessar seu servidor da Web público, com certeza as máquinas da sua rede local, especialmente os dispositivos, estão passando a maioria do tráfego. Se o seu roteador não é confiável, você está completamente no fim. Não vejo nenhum sinal de um problema de segurança no log parcial que você postou.

Embora seja frequentemente possível executar um navegador real em um roteador, acredito que a causa mais comum de IP interno de um roteador aparecer como endereços de origem em logs de acesso é o NAT suspenso. Se uma máquina dentro da sua rede local tentar se conectar ao seu servidor da Web em um endereço IP externo (ou um nome de domínio que resolva para um), a conexão falhará porque o cliente não espera receber uma resposta do IP da LAN do servidor. Ou seja, a menos que o roteador suporte o recurso NAT suspenso e reescreve os cabeçalhos de pacote, substituindo seus IPs de origem pelos seus próprios. No servidor, parece que as solicitações foram originadas do roteador.

É muito possível que "algo" em sua LAN esteja fazendo polling no servidor da web usando seu endereço IP externo. Adicionando 192.168.0.1 a lista negra do Apache 'funciona', se você quiser matar esse recurso. O servidor ainda estaria acessível de fora. No entanto, há pouco mal em ignorar essas entradas de log.

    
por 07.05.2013 / 15:56

Tags

pasta windows contendo 2 arquivos com o mesmo nome Como posso “ligar” uma combinação de teclas para iniciar uma aplicação do Windows 8? [duplicado]