Pourquoi les domaines externes apparaissent-ils dans mes journaux Apache?

10

J'ai plusieurs entrées de journal qui se réfèrent à un domaine externe - principalement un moteur de recherche russe ( http://www.yandex.ru/ )

Comment apparaissent-ils dans mes journaux?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Johan
source

Réponses:

8

Les sondes sont effectuées par des crackers à la recherche de proxys ouverts: certains proxys inverses (mal configurés) se connecteront à n'importe quel domaine, pas seulement au domaine qu'ils sont censés servir. Ils essaient d'utiliser votre serveur pour se connecter et abuser d'un autre site.

Andrew Aylett
source
Les entrées dans les journaux ne sont donc pas un sujet de préoccupation - sauf si j'agis en tant que proxy.
Johan
C'est vrai. Les chances que vous soyez un proxy public sans vous en rendre compte sont assez minces, surtout si vous servez votre site Web directement à partir de votre serveur sans aucun proxy.
Andrew Aylett
Question de suivi stupide: pourquoi le code retour serait-il 200 alors qu'Apache ne transmet pas réellement la demande?
Frank Hopkins
Et pour répondre à ma propre question: il peut arriver que l'apache soit configuré avec un catch all, donc tout domaine non mappé sera servi par cette page par défaut, ce qui se traduira par un code de réponse 200 (avec le contenu de tout ce qui est configuré comme cette page par défaut.
Frank Hopkins
3

N'importe qui peut se connecter à un serveur Web et demander l'URL de son choix à n'importe quel hôte. Il apparaîtra ensuite dans votre journal. Un exemple,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Vous obtiendrez une entrée dans votre journal apache pour www.asdfasdfasdfsdafsdf.com

goo
source
Je ne le savais pas. Je viens d'essayer votre exemple et j'obtiens 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" Aucune mention de asdfxxxetc Mais si c'est le comment - quel est le pourquoi?
Johan
Je verrais probablement s'ils peuvent rediriger une demande de votre site pour cacher leurs traces. Vérifiez si vous pouvez agir en tant que proxy ou rechercher un exploit.
Bart Silverstrim
Vous devez émettre "GET example.com HTTP / 1.1" comme demande pour lancer le proxy, essayez cela et vous le verrez (probablement) dans le journal.
Vatine du
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.