web-dev-qa-db-ja.com

Apacheアクセスログに表示されている内容について混乱していますか(ハッキングされた可能性があると思います)?

CentOSを実行しているVPSがあります。 Apacheをインストールし、アクセスログを構成しました。それをチェックして、いくつかの興味深いトラフィックを見つけました:

VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET / HTTP/1.1" 200 13
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:05:53 -0500] "GET /xvidtox-china-company HTTP/1.1" 404 219
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:15:18 -0500] "GET /xdmx-rental-cars-insurance HTTP/1.1" 404 224
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:16:47 -0500] "GET /nv-life-insurance-dies-when-premium/?si=2aa54ab4c0b33 HTTP/1.1" 404 234
VPS-Hostname 119.63.196.62 119.63.196.62 - - [23/Dec/2014:19:53:55 -0500] "GET /images/misc/legend.png HTTP/1.1" 404 220
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:20:45:21 -0500] "GET /xdmx-rental-cars-insurance/?si=2467513 HTTP/1.1" 404 225
VPS-Hostname 115.159.66.44 115.159.66.44 - - [23/Dec/2014:21:49:18 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 13
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:22:24:00 -0500] "GET /xpwx-china-exporters HTTP/1.1" 404 218
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:00:28:24 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
270.vps.ovh.ca 46.246.113.109 46.246.113.109 - - [24/Dec/2014:01:47:28 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.32 119.63.196.32 - - [24/Dec/2014:01:53:20 -0500] "GET /images/forumicons/sony2.jpg HTTP/1.1" 404 225
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:02:05:02 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
VPS-Hostname 218.59.238.93 218.59.238.93 - - [24/Dec/2014:04:01:23 -0500] "GET http://proxyjudge.us/ HTTP/1.0" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:38:50 -0500] "GET http://httpheader.net HTTP/1.1" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:10 -0500] "-" 408 -
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:32 -0500] "-" 408 -
VPS-Hostname 5.231.208.205 5.231.208.205 - - [24/Dec/2014:06:21:00 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:06:55:21 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.28 119.63.196.28 - - [24/Dec/2014:07:52:49 -0500] "GET /images/forumicons/latestmovies.jpg HTTP/1.1" 404 232

最初の3つのエントリは、設定したデフォルトのサイトを参照していますが、残りはわかりません。私はApacheを初めて使用するため、ここで何が起こっているのか正確にはわかりません。サーバー上でApacheを使用して他のサイトに接続している人はいますか?これはどのように可能ですか?

Httpd.confをデフォルト設定のままにし、下部にある仮想ホスト構成のみを「defaultsite」に追加します。

<VirtualHost *:80>
    # This first-listed virtual Host is also the default for *:80
    ServerAdmin [email protected]
    ServerName my.vps.hostname
    DocumentRoot /var/www/defaultsite
    LogFormat "%v %h %a %l %u %t \"%r\" %>s %b" vhostLogFormat
    CustomLog /var/log/httpd/defaultsite-access.log vhostLogFormat
    ErrorLog /var/log/httpd/defaultsite-error.log
</VirtualHost>
apache-2.2securityweb-serverhttpd
1
red888

Apacheで詳しく説明されています のようなRFCです。デフォルトでは、Apacheは無効なURIが含まれている場合でもリクエストを受け入れますが、代わりにユーザーはサーバーのメインページにリダイレクトされます。拒否されるCONNECTリクエストは適切な動作です。

上記のリンクで詳しく説明されているように、これらのリクエストを手動でブロックできますが、すぐにブロックする必要はありません。

8
Nathan C

サーバーがWebプロキシとして使用されているように見えます。そのIPからのアウトバウンドポート80(内部から外部)を無効にして、ログが引き続き表示されるかどうかを確認してください。そうでない場合は、セキュリティを強化することを検討する時期かもしれません...

1
milkman

ほとんどのログ行については、Apache wikiで プロキシの悪用 に関する説明を見つけることができます。最後から5番目と4番目、つまり応答コードがタイムアウトした要求として408です。あまり心配する必要はありません、彼らはスキャンしています。

0
Zimmi