¿Por qué aparecen dominios externos en mis registros de Apache?

10

Tengo varias entradas de registro que se refieren a un dominio externo, principalmente un motor de búsqueda ruso ( http://www.yandex.ru/ )

¿Cómo aparecen estos en mis registros?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Johan
fuente

Respuestas:

8

Las sondas son de crackers que buscan proxies abiertos: algunos proxies inversos (mal configurados) se conectarán a cualquier dominio, no solo al dominio que se supone que deben servir. Están tratando de usar su servidor para conectarse y abusar de otro sitio.

Andrew Aylett
fuente
Por lo tanto, las entradas que se encuentran en los registros no son motivo de preocupación, a menos que esté actuando como proxy.
Johan
Así es. Las posibilidades de que seas un proxy público sin darte cuenta son bastante escasas, especialmente si estás sirviendo tu sitio web directamente desde tu servidor sin ningún proxy.
Andrew Aylett
Estúpida pregunta de seguimiento: ¿Por qué el código de retorno sería 200 cuando Apache no reenvía la solicitud?
Frank Hopkins,
Y para responder a mi propia pregunta: puede suceder que apache esté configurado con un catch all, por lo que cualquier dominio no asignado será atendido por esa página predeterminada, lo que dará como resultado un código de respuesta 200 (junto con el contenido de lo que esté configurado como esta página predeterminada.
Frank Hopkins
3

Cualquiera puede conectarse a un servidor web y solicitar cualquier URL que desee de cualquier host. Luego aparecerá en su registro. Un ejemplo,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Le conseguirá una entrada en su registro de apache para www.asdfasdfasdfsdafsdf.com

cosa muy pegajosa
fuente
No lo sabia. Acabo de probar su ejemplo y obtengo 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" No se menciona asdfxxxetc Pero si ese es el cómo, ¿cuál es el por qué?
Johan
Probablemente ver si pueden redirigir una solicitud de su sitio para ocultar sus pistas, supongo. Vea si puede actuar como un proxy o buscando un exploit.
Bart Silverstrim
Debe emitir "GET example.com HTTP / 1.1" como la solicitud para iniciar el proxy, intente eso y (probablemente) lo verá en el registro.
Vatine
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.