Blanktar

  1. top
  2. blog
  3. 2013
  4. 10

apacheのログに"GET http://www.google.com.tw HTTP/1.1"なんてのが来てる。

apacheのaccess_log見てたら、

xx.xx.xx.xx - - [22/Oct/2013:20:21:06 +0900] "GET http://www.google.com.tw HTTP/1.1" 200 1868

なんてアクセスが来ていた。 なんだこれ、明らかに攻撃だ! しかも200返しちゃってる!? やばい! と思って調べてみた。

どうやら、踏み台(プロキシ)として使えるサーバー探しの為のアクセスらしい。 そういう意味では、前に来ていたCONNECTってリクエストと同じ類のもののようです。 プロキシ越しでアクセスするときはGETリクエスト使うんだねー。

自分のサーバーが悪用されないか調べるためには、

  1. ブラウザのプロキシを自サイトに設定。
  2. 適当なサイト(自分のサイト以外)にアクセスしてみる。
  3. 自サイトのページが表示されることを確認。 と言う手順で。

レスポンスコードが200になるのは問題ないらしい。

プロキシとして使えてしまった(URL通りのサイトが表示された)場合は、mod_proxyを無効にするか、制限するように設定するといいらしい。 リバースプロキシ的な特殊な用途で使ってない限りは無効にするだけでいいと思うけどねー。

参考: apacheのアクセスログについて 先日、リクエストヘッダが他サイトへのリクエストが... - Yahoo!知恵袋