我正在排除今早发生的系统故障,并在不久前发现了这些日志条目。在我看来,这些应该返回 404... 对吗?我应该担心吗?
80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
我该如何使用 cURL 或 postman 重现此问题?当我打开浏览器时,http://mydomain/http://azenv.net/日志中会以 a/开头显示。此外,它会转到 https,但不会显示在我的 http 日志中。
答案1
我发现这个资源彻底解释了这个问题:
https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse
我能够通过运行以下命令看到攻击者看到的结果
telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]
我的服务器只是返回了默认主页,而不是从 azenv.net 加载的数据。这就是 200 状态代码的原因。没有漏洞被利用。上面的资源解释了如何根据需要更改此行为。