O Apache registra o URL completo em vez do URI

Navegue suas respostas
1

Meu servidor da web Apache registrou as seguintes mensagens para access.log : 

46.22.173.131 - - [23/Dec/2014:15:34:54 +0100] "GET http://pl.wikipedia.org/wiki/Special:Search?search=&go=Go HTTP/1.1" 302 482 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
182.254.156.77 - - [23/Dec/2014:16:53:22 +0100] "GET http://www.ly.com/ HTTP/1.1" 302 433 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"'
182.254.208.62 - - [23/Dec/2014:17:57:49 +0100] "GET http://www.ly.com/ HTTP/1.1" 302 433 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"

Eu tenho dois Virtualhost s definidos - um para a porta 80 que apenas redireciona para 443 ... e o Virtualhost para a porta 443 que registra em ssl_access.log .

Eu não entendo o que esses logs significam? Alguém estava tentando acessar essas URLs através do meu servidor web?

Por favor, ajude-me a entender esses registros.

Feliz Natal a todos!

    
por Matthias 24.12.2014 / 11:16

3 respostas

7

link :

Why do I see requests for foreign sites appearing in my log files?

An access_log entry showing this situation could look like this:

63.251.56.142 - - [25/Jul/2002:12:48:04 -0700] "GET http://www.yahoo.com/ HTTP/1.0" 200 1456
For this log line, the 200 code (second to last field in this example) indicates that the request was successful – but see below for an explanation of what “success” means in this situation.

This is usually the result of malicious clients trying to exploit open proxy servers to access a website without revealing their true location. They could be doing this to manipulate pay-per-click ad systems, to add comment or link-spam to someone else's site, or just to do something nasty without being detected.

It is important to prevent your server from being used as an open proxy to abuse other sites.

    
por 24.12.2014 / 11:20
1

Além da ótima resposta do falsificador, o código de resposta 302 é devido ao redirecionamento de HTTPS que você configurou.

Para verificar se você está vulnerável à mesma exploração via HTTPS, execute estes comandos [fonte] : 

openssl s_client -connect yourdomain.com:443
[wait for the connection to initialise]
GET http://www.yahoo.com/ HTTP/1.1
Host: www.yahoo.com

Ou com curl : 

curl -H -x https://domain.name.here:443 www.google.de

De acordo com a documentação do Apache , você não deve receber conteúdo do yahoo.com e deve exibir um item 404 ou 403 resposta. Se isso acontecer, esses logs não são nada para se preocupar e é mais do que provável a verificação automatizada feita por bots.

    
por 24.12.2014 / 11:29
0

Como @faker observa, é importante configurar seu servidor da web para que ele não possa ser usado como um proxy público. Esse deve ser o comportamento padrão (ou seja, proxy desabilitado), a menos que você tenha habilitado explicitamente um ou mais dos módulos proxy (veja seu httpd.conf para instruções LoadModule que se referem aos módulos proxy) e tenha adicionado o Proxy relevante diretivas. No entanto, se quiser que tais solicitações sejam explicitamente bloqueadas e registradas como tal, você poderá fazer o que eu fiz e adicionar linhas como estas ao arquivo httpd.conf do arquivo .htaccess: 

# There is some seriously broken malware that attempts to proxy via our web
# server to www.baidu.com, planeta.ru, etc. The proxy attempt per se isn't
# broken (although we don't allow proxying via this web server). It's that
# only the first request makes any sense. Subsequent requests mangle both the
# HTTP_HOST and REQUEST_URI into nonsensical strings. Eventually the request
# is so mangled Apache responds with a 403 status.
#
# So check the request line to see if it looks like an attempt to proxy via
# our web server. Since we don't allow proxying nip the insanity in the bud.
RewriteCond %{THE_REQUEST} ^GET\s+https?:// [NC]
RewriteRule ^ blocked.php [NC,END,E=REASON:proxy-probe]

Eu tenho um script "blocked.php" que fornece uma página de resposta personalizada, incluindo o REASON env var, mas você também pode substituir essa regra por 

RewriteRule ^ - [NC,L,R=403]
    
por 28.12.2014 / 05:33

Tags

Como mover de um servidor físico para um servidor online? Como executar um script em um Amazon EC2 quando a instância é iniciada pela primeira vez?