Logs do Apache: muitos 404s no CONNECT para a porta 443 indicam uma vulnerabilidade?

1

Nos meus registros, recebo muitos:

"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"
...
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-"

Isso é alguma vulnerabilidade específica?

    
por user967722 30.08.2012 / 20:40

2 respostas

2

HTTP CONNECT é usado para tunelamento. O Apache suporta isso através do uso de mod_proxy_connect .

Um proxy mal configurado com suporte para CONNECT pode ser uma vulnerabilidade de segurança, portanto, se você não precisar dele, deverá desativá-lo.

Não sei ao certo como o Apache responde a uma solicitação CONNECT, se eles não estiverem ativados, mas um 404 parece improvável; Eu prefiro esperar um 405 ou 501. Como tal, você provavelmente deve verificar sua configuração.

    
por 30.08.2012 / 21:05
2

Provavelmente, é uma tentativa de usar seu servidor como um proxy, possivelmente de um vírus bot-net ou script-kiddie. Especificamente, no entanto, é (possivelmente) alguém telnetting em sua caixa, assim:

$ telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
CONNECT google.ca 80

HTTP/1.1 400 Bad Request
Connection: close
Content-Type: text/html; charset=iso-8859-1
[more header data ... ]
<html ... />

Você está executando um servidor de email nessa caixa? Você, por acaso, tem logs de firewall indicando conexões repetidas ou tentativas de conexão para a porta 25?

Estes dois artigos detalham dois casos de solução de problemas desse mesmo problema:

Combinados, eles oferecem várias correções (que serão resumidas para a posteridade, mas você deve ler todos os tópicos para o contexto):

  1. Limitar CONNECT no httpd.conf com <Limit CONNECT>Deny from all</Limit>
  2. Desative mod_proxy se você não estiver usando.

Esteja atento a linhas que não retornam 404 / 400 (em particular, 200 ), porque isso pode indicar que acessaram com êxito algum recurso, que em si não é necessariamente preocupante.

    
por 30.08.2012 / 21:06