[12/Sep/2020:05:50:56 +0000] "GET http://example.com/ HTTP/1.1" 200 3421 "-" "Go-http-client/1.1"
我的 Apache 访问日志在服务器上记录了此行。这看起来像是某种代理渗透测试或攻击。
我试图了解攻击者的意图是什么,以及如何重现这种情况以确保服务器没有受到损害,因为它确实响应了 200。
答案1
有人用 Go 编写了一个程序来连接服务器(比如您的服务器)并检查它们是否被错误配置为开放代理。许多 Web 服务器都配置错误,因此它们被恶意攻击者用作发起攻击的平台,而这些攻击无法立即追溯到他们。
如果您已启用ProxyRequestsApache 配置中的任何位置都可能存在漏洞。不幸的是,互联网上有一些糟糕的教程建议在不需要时启用此功能。
假设您没有启用此指令,您的服务器将改为提供默认虚拟主机的顶级索引文档,因为您没有与他们请求的主机名匹配的虚拟主机。如果您不更改此配置,它将是您的发行版附带的“它有效”页面。如果您确实更改了默认虚拟主机,那么它将是您在该配置中指定的任何索引文档。在这两种情况下,您都不会容易被利用为开放代理。
最后,如果您的服务器被错误配置为开放代理,其 IP 地址将被广泛共享,您会看到大量流量以这种方式通过,并且可能会收到来自托管服务提供商的一些滥用投诉。