Nos meus registros, recebo muitos:
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"
...
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"
Isso é alguma vulnerabilidade específica?
HTTP CONNECT é usado para tunelamento. O Apache suporta isso através do uso de mod_proxy_connect .
Um proxy mal configurado com suporte para CONNECT pode ser uma vulnerabilidade de segurança, portanto, se você não precisar dele, deverá desativá-lo.
Não sei ao certo como o Apache responde a uma solicitação CONNECT, se eles não estiverem ativados, mas um 404 parece improvável; Eu prefiro esperar um 405 ou 501. Como tal, você provavelmente deve verificar sua configuração.
Provavelmente, é uma tentativa de usar seu servidor como um proxy, possivelmente de um vírus bot-net ou script-kiddie. Especificamente, no entanto, é (possivelmente) alguém telnetting em sua caixa, assim:
$ telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
CONNECT google.ca 80
HTTP/1.1 400 Bad Request
Connection: close
Content-Type: text/html; charset=iso-8859-1
[more header data ... ]
<html ... />
Você está executando um servidor de email nessa caixa? Você, por acaso, tem logs de firewall indicando conexões repetidas ou tentativas de conexão para a porta 25?
Estes dois artigos detalham dois casos de solução de problemas desse mesmo problema:
Combinados, eles oferecem várias correções (que serão resumidas para a posteridade, mas você deve ler todos os tópicos para o contexto):
<Limit CONNECT>Deny from all</Limit>
mod_proxy se você não estiver usando. Esteja atento a linhas que não retornam 404 / 400 (em particular, 200 ), porque isso pode indicar que acessaram com êxito algum recurso, que em si não é necessariamente preocupante.
Tags php django apache-2.2