Apache 奇怪的日志

Apache 奇怪的日志

在我的 ACCESS_LOG 中,我看到很多奇怪的事情,来自其他 IP 的请求试图连接到其他 IP。

示例行:

67.212.81.217 - - [15/Dec/2009:17:38:26 +0000] "GET http://www.megaupload.com/?d=JE615TVO HTTP/1.1" 200 531 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"

我的 Apache 被黑客入侵了吗?我该如何禁用它?

我尝试用 Google 搜索此类问题,一些网站建议使用 mod_proxy 来解决,我尝试禁用它,但问题仍然存在。

答案1

如果不是 DNS,那么另一件事就是人们四处寻找可以用来获得匿名的开放代理。

答案2

LapTop006 是正确的。我建议尝试重现该问题:

$ telnet yoursite.net 80 
Trying 1.1.1.1...
Connected to yoursite.net.
Escape character is '^]'.

然后输入:

GET http://www.megaupload.com/?d=JE615TVO HTTP/1.1
Host: yoursite.net

再次按回车键,看看返回了什么内容。我认为您将看到 200 OK,后面跟着您网站上对 /?d=JE615TVO 的请求内容。

这种行为的解释是http://httpd.apache.org/docs/1.3/misc/FAQ.html#proxyscan

答案3

您提到的 IP 看起来没问题。那段日志中没有什么特别的,没有人连接到任何地方,有人正在尝试从您的服务器下载文件。如果您的服务器不是您在 http:// 后看到的域名,则意味着名称服务器出现故障。

要检查请求者 IP:

whois 67.212.81.217
host 67.212.81.217

相关内容