Чому зовнішні домени відображаються в моїх журналах apache?

10

У мене кілька записів журналу, які посилаються на зовнішній домен - переважно російську пошукову систему ( http://www.yandex.ru/ )

Як вони з’являються у моїх журналах?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Йохан
джерело

Відповіді:

8

Зонди - це кракери, які шукають відкритих проксі-сервісів: деякі (погано налаштовані) зворотні проксі-сервери підключаться до будь-якого домену, а не лише до домену, який вони повинні обслуговувати. Вони намагаються використовувати ваш сервер для підключення та зловживання іншим сайтом.

Ендрю Ейлетт
джерело
Тому записи, що знаходяться в журналах, не викликають занепокоєння - якщо я не виступаю як проксі.
Йоган
Це вірно. Шанси на те, що ти будеш публічним проксі-сервером, не усвідомлюючи, досить невеликі, особливо якщо ти обслуговуєш свій веб-сайт безпосередньо зі свого сервера, не маючи доступу до нього взагалі.
Ендрю Ейлетт
Дурне додаткове запитання: Чому код повернення буде 200, якщо Apache насправді не пересилає запит?
Френк Хопкінс
І щоб відповісти на моє власне запитання: може статися так, що apache налаштований з уловкою всіх, тому будь-який домен, не відображений на карті, буде обслуговуватися цією сторінкою за замовчуванням, що призведе до коду відповіді 200 (разом із вмістом того, що налаштовано в якості сторінки за замовчуванням.
Френк Хопкінс
3

Будь-хто може підключитися до веб-сервера і запитувати будь-яку URL-адресу, яку він бажає, від будь-якого хоста. Потім він з’явиться у вашому журналі. Приклад,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Ви отримаєте запис у свій журнал apache для www.asdfasdfasdfsdafsdf.com

goo
джерело
Я цього не знав. Я щойно спробував ваш приклад, і я отримую 82.69.xx - - [10 / червня / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" Немає згадки про asdfxxxetc Але якщо саме так - то чому?
Йоган
Можливо, я бачу, чи зможуть вони переадресувати запит із вашого сайту, щоб приховати свої доріжки. Подивіться, чи можете ви діяти в якості проксі-сервера чи пробувати експлуатацію.
Барт Сільверстрім
Вам потрібно видати "GET example.com HTTP / 1.1" як запит на ініціювання проксі, спробуйте це, і ви (ймовірно) побачите це в журналі.
Ватін
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.