Security

Apache Web 伺服器日誌中的 HTTP CONNECT 請求

  • June 1, 2021

我有一個服務於域www.mypersonaldomain.com的 Apache 網路伺服器,我在訪問日誌中找到了這些條目(以及更多類似的條目)。

88.218.227.227 - - [28/May/2021:08:56:29 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213
88.218.227.227 - - [28/May/2021:08:57:03 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213
88.218.227.227 - - [28/May/2021:08:58:19 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213
34.91.147.149 - - [28/May/2021:10:34:44 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210
34.91.147.149 - - [28/May/2021:10:35:08 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210
34.91.147.149 - - [28/May/2021:10:35:16 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210
34.91.147.149 - - [28/May/2021:10:35:46 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210
194.93.56.130 - - [28/May/2021:16:40:12 +0000] "CONNECT 45.131.0.108:25565 HTTP/1.1" 404 13899
194.93.56.130 - - [28/May/2021:16:40:32 +0000] "CONNECT 45.131.108.30:25565 HTTP/1.1" 404 13920
194.163.135.185 - - [28/May/2021:17:52:52 +0000] "CONNECT play.arkflame.com:25566 HTTP/1.1\n" 400 226
194.163.135.185 - - [28/May/2021:17:52:52 +0000] "CONNECT play.arkflame.com:25566 HTTP/1.1\n" 400 226
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212

該伺服器使用 Bitnami WordPress 堆棧建構在 AWS Lightsail 實例上,其中推薦和預設配置是將 Apache 配置為提供靜態文件(圖像、CSS、JavaScript 等)並使用 PHP_FPM 和 Apache 的 mod_proxy 模組來處理 PHP要求。

  1. 那些關於帶有 302 響應的請求的日誌條目是否意味著我的伺服器被用作開放代理?
  2. 為什麼有人會要求我的伺服器以這種方式連接到我的域?
  3. 我可以做些什麼來阻止重定向並保護我的伺服器而不禁用 mod_proxy?
  4. 我如何自己發送 CONNECT 請求進行測試?

這些條目(…)是否意味著我的伺服器被用作開放代理?

不,302 只是“找到”或“這裡有東西”的程式碼。伺服器收到一個請求並將其記錄下來。

為什麼有人會要求我的伺服器以這種方式連接到我的域?

查找開放代理。有成千上萬的服務掃描像您這樣的伺服器。出於安全或“其他”原因。

我可以做些什麼來阻止重定向

重定向是客戶端的事情,您的伺服器必須向客戶端發送 301 程式碼(例如)。

…並在不禁用 mod_proxy 的情況下保護我的伺服器?

禁用未使用的服務和模組始終是一個好習慣。

我如何自己發送 CONNECT 請求進行測試?

您可以使用捲曲:

curl --proxy "http://<YOURSERVER>" "http://<ANOTHERSERVER>"

引用自:https://serverfault.com/questions/1065089