Security
Apache CONNECT 請求日誌 - 我應該擔心嗎?
今天晚上我正在查看我的 Apache2 訪問日誌,當我發現日誌文件中似乎是 CONNECT 請求時:
... 5*.**.***.**8 - - [28/Jan/2021:21:40:41 +0000] "GET http://www.youtube.com/watch?v=8MZADjiVIbw?search_query=%EC%95%84%EC%9D%B4%ED%81%B4%ED%83%80%EC%9E%84 HTTP/1.1" 301 565 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR$ 5*.**.***.**8 - - [28/Jan/2021:21:40:41 +0000] "CONNECT domain.tldwatch:443 HTTP/1.1" 301 409 "-" "-" 5*.**.***.**8 - - [28/Jan/2021:21:40:43 +0000] "CONNECT domain.tldwatch:443 HTTP/1.1" 200 3817 "-" "-" 5*.**.***.**8 - - [28/Jan/2021:21:40:44 +0000] "CONNECT domain.tldwatch:443 HTTP/1.1" 301 409 "-" "-" 5*.**.***.**8 - - [28/Jan/2021:21:40:44 +0000] "CONNECT domain.tldwatch:443 HTTP/1.1" 200 794 "-" "-" ...這只是提出的請求之一,我在日誌中發現了更多類似這樣的請求。
據我所知,我從未接觸過與伺服器上的代理(即 mod_proxy_connect)有關的任何事情。
我的伺服器易受攻擊嗎?如果是這樣,我接下來應該採取什麼步驟來緩解這種情況?
這些請求看起來很可能被重定向到您的實際網站,而不是被代理到攻擊者試圖去的任何地方。
為確保您不允許此類請求,請檢查您的 Apache 配置中的指令
ProxyRequests。預設情況下這是關閉的,但一些低質量的網際網路教程建議打開它來完成其他事情(它沒有這樣做)。如果你打開它,那麼它可能會打開你的網路伺服器被濫用。至於請求本身,最好的做法是保持您的網站配置
<VirtualHost>獨立於 Apache 的預設配置,如您的發行版所提供的那樣,它應該只返回“它可以工作”頁面(作為 403 錯誤)。因此,任何沒有明確請求您的域名的請求都會得到 403。