Mengapa domain eksternal muncul di log apache saya?

10

Saya punya beberapa entri log yang merujuk ke domain eksternal - terutama mesin pencari Rusia ( http://www.yandex.ru/ )

Bagaimana ini muncul di log saya?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Johan
sumber

Jawaban:

8

Penyelidikan dilakukan oleh cracker yang mencari proxy terbuka: beberapa proxy terbalik (tidak terkonfigurasi) akan terhubung ke domain apa pun, bukan hanya domain yang seharusnya dilayani. Mereka mencoba menggunakan server Anda untuk terhubung dan menyalahgunakan situs lain.

Andrew Aylett
sumber
Jadi entri yang ada di log bukan alasan untuk dikhawatirkan - kecuali saya bertindak sebagai proxy.
Johan
Tepat sekali. Kemungkinan Anda menjadi proxy publik tanpa disadari cukup tipis, terutama jika Anda melayani situs web Anda langsung dari server Anda tanpa proxy sama sekali.
Andrew Aylett
Pertanyaan tindak lanjut bodoh: Mengapa kode pengembalian menjadi 200 ketika Apache tidak benar-benar meneruskan permintaan?
Frank Hopkins
Dan untuk menjawab pertanyaan saya sendiri: Mungkin saja apache dikonfigurasi dengan catch all, sehingga domain apa pun yang tidak dipetakan akan dilayani oleh halaman default tersebut, yang akan menghasilkan 200 kode respons (bersama dengan konten apa pun yang dikonfigurasi sebagai halaman default ini
Frank Hopkins
3

Siapa pun dapat terhubung ke server web dan meminta url apa pun yang mereka inginkan dari host mana pun. Kemudian akan muncul di log Anda. Sebuah contoh,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Akan memberi Anda entri di log apache Anda untuk www.asdfasdfasdfsdafsdf.com

goo
sumber
Saya tidak tahu itu. Saya baru saja mencoba contoh Anda, dan saya mendapatkan 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "DAPATKAN / HTTP / 1.1" 400 350 "-" "-" Tidak disebutkan asdfxxxetc Tetapi jika itu caranya - mengapa?
Johan
Mungkin melihat apakah mereka dapat mengarahkan permintaan dari situs Anda untuk menyembunyikan jejak mereka, saya kira. Lihat apakah Anda dapat bertindak sebagai proksi, atau menyelidiki eksploitasi.
Bart Silverstrim
Anda perlu mengeluarkan "GET example.com HTTP / 1.1" sebagai permintaan untuk memulai proxy, coba itu dan Anda (mungkin) akan melihatnya di log.
Vatine
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.