Security
GET http://example.com/ HTTP/1.1” 200 3421 “-” “Go-http-client/1.1
[12/Sep/2020:05:50:56 +0000] "GET http://example.com/ HTTP/1.1" 200 3421 "-" "Go-http-client/1.1"
我的 apache 訪問日誌在伺服器上註冊了這一行。它看起來像是某種代理滲透測試或攻擊。
我試圖了解攻擊者的意圖是什麼以及如何重現這一點以確保伺服器沒有受到損害,因為它確實響應了 200。
有人在 Go 中編寫了一個程序來連接伺服器(例如您的伺服器)並檢查它們是否被錯誤配置為開放代理。那裡的許多 Web 伺服器配置錯誤,因此它們對惡意行為者很有用,可以作為發起攻擊的平台,而這些攻擊不會立即追溯到它們。
如果您
ProxyRequests
在 Apache 配置中的任何位置啟用,您很可能很容易受到攻擊。不幸的是,網際網路上有一些糟糕的教程建議在不需要時啟用它。假設您尚未啟用此指令,您的伺服器將為預設虛擬主機提供頂級索引文件,因為您將沒有與他們請求的主機名匹配的虛擬主機。如果您沒有更改此配置,它將是您的發行版提供的“It works”頁面。如果您確實更改了預設虛擬主機,那麼它將是您在該配置中指定的任何索引文件。在這兩種情況下,您都不會容易被用作開放代理。
最後,如果您的伺服器被錯誤地配置為開放代理,它的 IP 地址將被廣泛共享,您會看到大量流量以這種方式通過,並且可能會收到來自您的託管服務提供商的一些濫用投訴。