在基于 Debian 11 的邮件服务器上,我注意到每日日志中有一些条目:
--------------------- httpd Begin ------------------------
Connection attempts using mod_proxy:
161.35.188.242 -> leakix.net:443: 1 Time(s)
92.118.39.30 -> example.com:443: 2 Time(s)
这种情况几乎每天都会发生,涉及 1-3 个具有不同 IP 的条目。
研究结果显示,httpd 是 apache2 的一部分,但我没有安装。我发现一些参考资料表明 httpd 与 nginx 有关,而 nginx 是我的服务器设置的一部分。
cat /var/log/nginx/access.log | grep 161.35.188.242
确实让我通过给定的 IP 多次尝试连接到我的服务器。不同的线程建议在 /etc/httpd/conf/httpd.conf 中禁用 mod_proxy,并注释掉 /etc/httpd/conf.d/proxy_ajp.conf 中的所有内容。我没有这些文件,甚至没有 httpd 文件夹。/etc/ 中有一个 apache2 文件夹,但它只包含 php 配置内容。我猜它是 iRedMail 的一部分,用于创建用于邮件访问的 WebGUI。apache 2.2 和 apache 2.4 似乎还有一个错误,它会返回 200(成功)状态代码和 index.php 站点的内容。为了防止这种情况,建议在 /etc/httpd/conf.d/ 中创建一个 disable_connect.conf 文件,并输入一些内容(1),但我仍然没有 /etc/httpd/ 文件夹。
如何摆脱 mod_proxy,因为它存在潜在的安全风险?
编辑:Grégory Boddin 建议使用
curl -kx http(s)://<your-server-ip>:<your-server-port> http://ifconfig.me
http:80 的结果是:
curl: (56) Received HTTP code 400 from proxy after CONNECT
https:443 导致:
curl: (60) SSL: no alternative certificate subject name matches target host name 'xxx.xxx.xxx' More details here: curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
答案1
我建议通过以下方式检查你的服务器是否容易受到代理攻击:
$ curl -kx http(s)://<your-server-ip>:<your-server-port> http://ifconfig.me
和
$ curl -kx http(s)://<your-server-ip>:<your-server-port> https://ifconfig.me
第一次检查将确保您没有通过 GET 方法代理请求,第二次检查将通过 CONNECT 方法代理请求。
如果任何这些命令打印出你的服务器的 IP,那么它就很容易受到攻击,否则你是安全的!
希望能帮助到你。