通过阅读我们其中一台服务器的 apache 访问日志,我发现连接到该服务器的一些 IP 收到“408 超时”响应,而不是“403 未授权”。
这是访问日志的一行:
[Remote IP] - - [12/Jul/2019:12:00:00 +0000] "-" 408 3272 "-" "-"
看起来请求有某种主体(3kB),但没有指定方法 GET/POST。我已经尝试通过 telnet 到端口 443 连接到服务器以模拟连接,但这种连接没有被记录,所以我不知道连接类型是什么,也不知道标头字段中“-”的含义。
有关服务器的一些详细信息:
- Apache 服务器有多个虚拟主机,这是默认虚拟主机,即使直接 ip 连接也会响应
- 此虚拟主机仅可通过 https 访问
- Apache 配置使用 403 阻止所有没有我们的证书的连接,或者当远程 IP 不在我们的本地网络内时(因此这个外部 IP 应该收到 403)
- 基于相同的访问日志,该规则有效,因为 Apache 阻止(并记录)一些机器人和一些带有 403 响应的陌生人
- 该类型的接头还有更多,且尺寸各异(大多数为152型,还有一种为3269型)
- Apache 版本 2.4.25
我很确定客户端没有正确的 SSL 证书,也不在我们的网络中。
我不知道这是否是恶意的,或者只是发生了奇怪的端口扫描,那么它可能是什么?