Security
Apache Web 伺服器日誌中的 HTTP CONNECT 請求
我有一個服務於域www.mypersonaldomain.com的 Apache 網路伺服器,我在訪問日誌中找到了這些條目(以及更多類似的條目)。
88.218.227.227 - - [28/May/2021:08:56:29 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213 88.218.227.227 - - [28/May/2021:08:57:03 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213 88.218.227.227 - - [28/May/2021:08:58:19 +0000] "CONNECT minecraft.moin.games.:30003 HTTP/1.1" 302 213 34.91.147.149 - - [28/May/2021:10:34:44 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210 34.91.147.149 - - [28/May/2021:10:35:08 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210 34.91.147.149 - - [28/May/2021:10:35:16 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210 34.91.147.149 - - [28/May/2021:10:35:46 +0000] "CONNECT play.destanmc.com:25565 HTTP/1.1" 302 210 194.93.56.130 - - [28/May/2021:16:40:12 +0000] "CONNECT 45.131.0.108:25565 HTTP/1.1" 404 13899 194.93.56.130 - - [28/May/2021:16:40:32 +0000] "CONNECT 45.131.108.30:25565 HTTP/1.1" 404 13920 194.163.135.185 - - [28/May/2021:17:52:52 +0000] "CONNECT play.arkflame.com:25566 HTTP/1.1\n" 400 226 194.163.135.185 - - [28/May/2021:17:52:52 +0000] "CONNECT play.arkflame.com:25566 HTTP/1.1\n" 400 226 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212 212.47.244.68 - - [28/May/2021:20:14:24 +0000] "CONNECT www.mypersonaldomain.com:443 HTTP/1.1" 302 212
該伺服器使用 Bitnami WordPress 堆棧建構在 AWS Lightsail 實例上,其中推薦和預設配置是將 Apache 配置為提供靜態文件(圖像、CSS、JavaScript 等)並使用 PHP_FPM 和 Apache 的 mod_proxy 模組來處理 PHP要求。
- 那些關於帶有 302 響應的請求的日誌條目是否意味著我的伺服器被用作開放代理?
- 為什麼有人會要求我的伺服器以這種方式連接到我的域?
- 我可以做些什麼來阻止重定向並保護我的伺服器而不禁用 mod_proxy?
- 我如何自己發送 CONNECT 請求進行測試?
這些條目(…)是否意味著我的伺服器被用作開放代理?
不,302 只是“找到”或“這裡有東西”的程式碼。伺服器收到一個請求並將其記錄下來。
為什麼有人會要求我的伺服器以這種方式連接到我的域?
查找開放代理。有成千上萬的服務掃描像您這樣的伺服器。出於安全或“其他”原因。
我可以做些什麼來阻止重定向
重定向是客戶端的事情,您的伺服器必須向客戶端發送 301 程式碼(例如)。
…並在不禁用 mod_proxy 的情況下保護我的伺服器?
禁用未使用的服務和模組始終是一個好習慣。
我如何自己發送 CONNECT 請求進行測試?
您可以使用捲曲:
curl --proxy "http://<YOURSERVER>" "http://<ANOTHERSERVER>"