Security
奇怪的 Centos 5 Lighttpd 訪問日誌
我調查了我的 Lighttpd 訪問日誌,發現下面列出了一些奇怪的事情。我不知道它是好是壞,但是熊熊?我從來沒有或這些網站我只將我的 Centos 用於網站託管。你能幫我理解這些日誌嗎?
87.219.0.18 download.bearshare.com - [26/Sep/2009:12:41:37 +0200] "GET http://download.bearshare.com/BSInstall.exe HTTP/1.0" 404 345 "-" "Mozilla/3.0 (compatible)" 87.219.17.44 proxyworld.ifrance.com - [26/Sep/2009:20:13:53 +0200] "GET http://proxyworld.ifrance.com/azenv.php HTTP/1.1" 404 345 "http://proxyworld.ifrance.com/azenv.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 87.219.17.44 proxyworld.ifrance.com - [26/Sep/2009:20:44:12 +0200] "GET http://proxyworld.ifrance.com/azenv.php HTTP/1.1" 404 345 "http://proxyworld.ifrance.com/azenv.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 118.168.162.245 - - [27/Sep/2009:12:43:58 +0200] "CONNECT 220.132.13.98:25 HTTP/1.0" 501 357 "-" "-" 125.224.203.130 203.188.201.253:25 - [28/Sep/2009:00:28:09 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-" 69.46.23.47 174.34.157.98 - [28/Sep/2009:23:48:54 +0200] "GET http://174.34.157.98/proxychecker/check.cgi?action=getinfo HTTP/1.1" 404 345 "http://www.google.com/search?hl=ru&q=free+proxy+checker&sourceid=navclient-ff&ie=UTF-8" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 125.224.203.130 203.188.201.253:25 - [28/Sep/2009:23:58:14 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-" 124.133.252.204 www.yahoo.com - [29/Sep/2009:10:25:59 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1953 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Win2000)" 124.11.136.231 72.14.221.111:25 - [29/Sep/2009:14:59:51 +0200] "CONNECT 72.14.221.111:25 HTTP/1.1" 501 357 "-" "-" 125.224.197.97 203.188.201.253:25 - [01/Oct/2009:01:30:56 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-"
似乎有人試圖將您的 lighttpd 伺服器用作代理伺服器。這意味著他們會連接到您並要求您代表他們獲取網頁或下載文件,然後透明地將其發送回給他們。人們這樣做的常見原因:
- 繞過公司或政府防火牆。例如,主機 87.219.0.18 可能無法連接到 bearshare.com,但他們可以連接到您,您可以連接到 bearshare.com。如果他們可以讓您的 Web 伺服器代理他們的連接,他們仍然可以有效地訪問該站點。
- 掩蓋自己的身份。就 bearshare.com 而言,您是連接到他們的人,而不是 87.219.0.18。
正如 404 和 501 HTTP 程式碼所示,您正在阻止其中的大多數。但是,從 124.133.252.204 到 yahoo.com 的連接給出了 200 程式碼,表示成功。您絕對應該檢查您的 lighttpd 配置並確保mod_proxy被限製或禁用(除非您打算提供免費代理服務)。