Eu tenho um VPS rodando o CentOS. Eu instalei o apache e configurei o log de acesso. Apenas verifiquei e encontrei algum tráfego interessante:
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET / HTTP/1.1" 200 13
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:05:53 -0500] "GET /xvidtox-china-company HTTP/1.1" 404 219
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:15:18 -0500] "GET /xdmx-rental-cars-insurance HTTP/1.1" 404 224
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:16:47 -0500] "GET /nv-life-insurance-dies-when-premium/?si=2aa54ab4c0b33 HTTP/1.1" 404 234
VPS-Hostname 119.63.196.62 119.63.196.62 - - [23/Dec/2014:19:53:55 -0500] "GET /images/misc/legend.png HTTP/1.1" 404 220
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:20:45:21 -0500] "GET /xdmx-rental-cars-insurance/?si=2467513 HTTP/1.1" 404 225
VPS-Hostname 115.159.66.44 115.159.66.44 - - [23/Dec/2014:21:49:18 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 13
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:22:24:00 -0500] "GET /xpwx-china-exporters HTTP/1.1" 404 218
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:00:28:24 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
270.vps.ovh.ca 46.246.113.109 46.246.113.109 - - [24/Dec/2014:01:47:28 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.32 119.63.196.32 - - [24/Dec/2014:01:53:20 -0500] "GET /images/forumicons/sony2.jpg HTTP/1.1" 404 225
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:02:05:02 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
VPS-Hostname 218.59.238.93 218.59.238.93 - - [24/Dec/2014:04:01:23 -0500] "GET http://proxyjudge.us/ HTTP/1.0" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:38:50 -0500] "GET http://httpheader.net HTTP/1.1" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:10 -0500] "-" 408 -
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:32 -0500] "-" 408 -
VPS-Hostname 5.231.208.205 5.231.208.205 - - [24/Dec/2014:06:21:00 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:06:55:21 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.28 119.63.196.28 - - [24/Dec/2014:07:52:49 -0500] "GET /images/forumicons/latestmovies.jpg HTTP/1.1" 404 232
As primeiras três entradas são eu navegando para o meu site padrão que eu configurei, o resto eu não tenho idéia. Sou novo no apache, então não sei exatamente o que está acontecendo aqui. Alguém está usando o apache no servidor para se conectar a outros sites? como isso é possível?
Deixo o httpd.conf com as configurações padrão, adicionando apenas uma configuração de host virtual na parte inferior do meu "defaultsite":
<VirtualHost *:80>
# This first-listed virtual host is also the default for *:80
ServerAdmin [email protected]
ServerName my.vps.hostname
DocumentRoot /var/www/defaultsite
LogFormat "%v %h %a %l %u %t \"%r\" %>s %b" vhostLogFormat
CustomLog /var/log/httpd/defaultsite-access.log vhostLogFormat
ErrorLog /var/log/httpd/defaultsite-error.log
</VirtualHost>
É uma coisa da RFC como detalhada pelo Apache . Por padrão, o Apache aceitará solicitações mesmo que contenham URIs inválidos, mas, em vez disso, o usuário será redirecionado para a página principal do seu servidor. As solicitações CONNECT que estão sendo recusadas são um comportamento adequado.
Conforme detalhado no link acima, você pode bloquear manualmente essas solicitações, mas não há necessidade imediata.
Quase parece que o servidor está sendo usado como um proxy da web. Tente desabilitar a saída da porta 80 desse IP (interno para externo) e veja se os logs continuam aparecendo. Se não, talvez seja hora de olhar para apertar a sua segurança ...
Para a maioria das linhas de log, você pode encontrar a explicação no wiki do apache sobre abuso de proxy . O quinto e o quarto do final, que são 408 como código de resposta, são pedidos de tempo excedido. Nada para se preocupar muito, eles estão digitalizando.