Perché i domini esterni vengono visualizzati nei miei registri di Apache?

10

Ho diverse voci di registro che fanno riferimento a un dominio esterno, principalmente un motore di ricerca russo ( http://www.yandex.ru/ )

Come appaiono questi nei miei registri?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Johan
fonte

Risposte:

8

Le sonde sono di cracker che cercano proxy aperti: alcuni proxy inversi (mal configurati) si collegheranno a qualsiasi dominio, non solo al dominio che dovrebbero servire. Stanno cercando di utilizzare il server per connettersi e abusare di un altro sito.

Andrew Aylett
fonte
Quindi le voci nei registri non sono motivo di preoccupazione, a meno che non agisca come proxy.
Johan
Giusto. Le probabilità che tu sia un proxy pubblico senza rendertene conto sono piuttosto scarse, specialmente se stai servendo il tuo sito web direttamente dal tuo server senza alcun proxy.
Andrew Aylett,
Stupida domanda di follow-up: Perché il codice di ritorno dovrebbe essere 200 se Apache non inoltra effettivamente la richiesta?
Frank Hopkins,
E per rispondere alla mia domanda: può accadere che l'apache sia configurato con un catch all, quindi qualsiasi dominio non mappato sarà servito da quella pagina predefinita, che comporterà un codice di 200 risposte (insieme al contenuto di tutto ciò che è configurato come questa pagina predefinita.
Frank Hopkins,
3

Chiunque può connettersi a un server web e richiedere qualsiasi URL che desiderano da qualsiasi host. Verrà quindi visualizzato nel registro. Un esempio,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Riceverai una voce nel tuo log di Apache per www.asdfasdfasdfsdafsdf.com

gelatina
fonte
Non lo sapevo. Ho appena provato il tuo esempio e ottengo 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" Nessuna menzione di asdfxxxetc Ma se è così, qual è il perché?
Johan
Probabilmente vedo se riescono a reindirizzare una richiesta dal tuo sito per nascondere le loro tracce, immagino. Verifica se puoi agire come proxy o sondare un exploit.
Bart Silverstrim,
Devi emettere "GET example.com HTTP / 1.1" come richiesta per avviare il proxy, provalo e (probabilmente) lo vedrai nel registro.
Vatine,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.