Por que domínios externos aparecem nos meus logs do apache?

10

Eu tenho várias entradas de log que se referem a um domínio externo - principalmente um mecanismo de pesquisa russo ( http://www.yandex.ru/ )

Como eles estão aparecendo nos meus logs?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
apache-2.2  logging 
Johan
fonte

Respostas:

8

As análises são feitas por crackers que procuram proxies abertos: alguns proxies reversos (mal configurados) se conectam a qualquer domínio, não apenas ao domínio que eles deveriam estar servindo. Eles estão tentando usar o servidor para se conectar e abusar de outro site.

Andrew Aylett
fonte
Portanto, as entradas nos registros não são motivo de preocupação - a menos que eu esteja atuando como proxy.
Johan
Está certo. As chances de você ser um proxy público sem perceber são muito pequenas, especialmente se você estiver servindo seu site diretamente do seu servidor sem nenhum proxy.
precisa
Pergunta estúpida de acompanhamento: Por que o código de retorno seria 200 quando o Apache não encaminha realmente a solicitação?
Frank Hopkins
E para responder à minha própria pergunta: pode acontecer que o apache esteja configurado com um catch all, portanto, qualquer domínio não mapeado será atendido por essa página padrão, o que resultará em um código de 200 respostas (junto com o conteúdo do que estiver configurado como esta página padrão.
Frank Hopkins
3

Qualquer pessoa pode se conectar a um servidor da web e solicitar qualquer URL que desejar de qualquer host. Ele aparecerá no seu log. Um exemplo,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Você receberá uma entrada no seu log do apache para www.asdfasdfasdfsdafsdf.com

goo
fonte
Eu não sabia disso. Acabei de experimentar o seu exemplo e recebo 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" Nenhuma menção a asdfxxxetc Mas se é assim - qual é o porquê?
Johan
Provavelmente, vendo se eles podem redirecionar uma solicitação do seu site para ocultar suas trilhas, eu acho. Veja se você pode agir como um proxy ou procurando uma exploração.
Bart Silverstrim
Você precisa emitir "GET example.com HTTP / 1.1" como a solicitação para iniciar o proxy, tente isso e você (provavelmente) o verá no log.
Vatine 10/06
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.