在我的 ACCESS_LOG 中,我看到很多奇怪的事情,来自其他 IP 的请求试图连接到其他 IP。
示例行:
67.212.81.217 - - [15/Dec/2009:17:38:26 +0000] "GET http://www.megaupload.com/?d=JE615TVO HTTP/1.1" 200 531 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
我的 Apache 被黑客入侵了吗?我该如何禁用它?
我尝试用 Google 搜索此类问题,一些网站建议使用 mod_proxy 来解决,我尝试禁用它,但问题仍然存在。
答案1
如果不是 DNS,那么另一件事就是人们四处寻找可以用来获得匿名的开放代理。
答案2
LapTop006 是正确的。我建议尝试重现该问题:
$ telnet yoursite.net 80
Trying 1.1.1.1...
Connected to yoursite.net.
Escape character is '^]'.
然后输入:
GET http://www.megaupload.com/?d=JE615TVO HTTP/1.1
Host: yoursite.net
再次按回车键,看看返回了什么内容。我认为您将看到 200 OK,后面跟着您网站上对 /?d=JE615TVO 的请求内容。
这种行为的解释是http://httpd.apache.org/docs/1.3/misc/FAQ.html#proxyscan。
答案3
您提到的 IP 看起来没问题。那段日志中没有什么特别的,没有人连接到任何地方,有人正在尝试从您的服务器下载文件。如果您的服务器不是您在 http:// 后看到的域名,则意味着名称服务器出现故障。
要检查请求者 IP:
whois 67.212.81.217
host 67.212.81.217