今天我注意到我的日志文件中有这样的条目:
Connection attempts using mod_proxy:
175.180.113.83 -> 66.135.210.61:80: 1 Time(s)
这是我在日志中通常看不到的东西。我对此有几个疑问:
- 这到底是什么意思?这是否意味着有人试图通过代理连接访问我的服务器?
- 第一个 IP 地址是什么?这是原始 IP 吗?
- 第二个 IP 地址是什么?这是他们用作代理的服务器吗?
- 如果我对 2 和 3 的说法是正确的,那么 Logwatch (或 Linux 中解决这个问题的任何程序) 如何能够检测到原始 IP?我以为代理应该有助于匿名,并使原始 IP 地址完全被掩盖?
- 这是什么意思?这些请求通常来自寻找额外安全漏洞的机器人吗?通过代理访问我的服务器有什么意义?
编辑:看起来 66.135.210.61 属于 eBay,而另一个 IP 属于台湾的某个人。这是否意味着有人通过 eBay 访问了我的服务器?eBay 的安全性难道不应该足够好以防止此类事情发生吗?
谢谢
答案1
它的意思实际上与你所说的正好相反:台湾的人通过你的服务器访问(或试图访问)eBay。这意味着有人正在使用你的机器作为开放代理。很可能他们正在探测你是否配置了开放代理。消息显示“尝试”这一事实意味着建议他们没有成功,但谷歌搜索了一下表明这可能意味着他们确实成功了。您要做的就是确保您没有运行 mod_proxy,并且CONNECT如果不需要它们,请禁用该动词。
我发现一篇可能有用的文章是http://www.davekb.com/browse_computer_tips:logwatch_connection_attempts_using_mod_proxy:txt