对我在apache访问日志中看到的内容感到困惑(认为我可能被黑了)?
对我在apache访问日志中看到的内容感到困惑(认为我可能被黑了)?
提问于 2014-12-24 15:25:14
我有一个运行CentOS的VPS。我安装了apache并配置了访问日志。刚刚检查了一下,发现了一些有趣的流量:
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET / HTTP/1.1" 200 13
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname MYIP MYIP - - [23/Dec/2014:16:47:20 -0500] "GET /favicon.ico HTTP/1.1" 404 209
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:05:53 -0500] "GET /xvidtox-china-company HTTP/1.1" 404 219
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:15:18 -0500] "GET /xdmx-rental-cars-insurance HTTP/1.1" 404 224
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:19:16:47 -0500] "GET /nv-life-insurance-dies-when-premium/?si=2aa54ab4c0b33 HTTP/1.1" 404 234
VPS-Hostname 119.63.196.62 119.63.196.62 - - [23/Dec/2014:19:53:55 -0500] "GET /images/misc/legend.png HTTP/1.1" 404 220
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:20:45:21 -0500] "GET /xdmx-rental-cars-insurance/?si=2467513 HTTP/1.1" 404 225
VPS-Hostname 115.159.66.44 115.159.66.44 - - [23/Dec/2014:21:49:18 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 13
VPS-Hostname 66.119.41.34 66.119.41.34 - - [23/Dec/2014:22:24:00 -0500] "GET /xpwx-china-exporters HTTP/1.1" 404 218
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:00:28:24 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
270.vps.ovh.ca 46.246.113.109 46.246.113.109 - - [24/Dec/2014:01:47:28 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.32 119.63.196.32 - - [24/Dec/2014:01:53:20 -0500] "GET /images/forumicons/sony2.jpg HTTP/1.1" 404 225
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:02:05:02 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
...
VPS-Hostname 218.59.238.93 218.59.238.93 - - [24/Dec/2014:04:01:23 -0500] "GET http://proxyjudge.us/ HTTP/1.0" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:38:50 -0500] "GET http://httpheader.net HTTP/1.1" 200 13
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:10 -0500] "-" 408 -
VPS-Hostname 93.174.93.218 93.174.93.218 - - [24/Dec/2014:04:39:32 -0500] "-" 408 -
VPS-Hostname 5.231.208.205 5.231.208.205 - - [24/Dec/2014:06:21:00 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
VPS-Hostname 46.246.113.109 46.246.113.109 - - [24/Dec/2014:06:55:21 -0500] "CONNECT www.netflix.com:443 HTTP/1.0" 405 235
VPS-Hostname 119.63.196.28 119.63.196.28 - - [24/Dec/2014:07:52:49 -0500] "GET /images/forumicons/latestmovies.jpg HTTP/1.1" 404 232前三个条目是我浏览我的默认网站,我设置,其余我不知道。我对apache并不熟悉,所以我不确定这里到底发生了什么。有人在服务器上使用apache连接到其他站点吗?这怎麽可能?
我将httpd.conf保留默认设置,只在底部添加虚拟主机配置到我的"defaultsite":
<VirtualHost *:80>
# This first-listed virtual host is also the default for *:80
ServerAdmin derp@derpaderpderp.net
ServerName my.vps.hostname
DocumentRoot /var/www/defaultsite
LogFormat "%v %h %a %l %u %t \"%r\" %>s %b" vhostLogFormat
CustomLog /var/log/httpd/defaultsite-access.log vhostLogFormat
ErrorLog /var/log/httpd/defaultsite-error.log
</VirtualHost>回答 3
Server Fault用户
回答已采纳
发布于 2014-12-24 15:45:16
这是一个RFC的事情,作为阿帕奇。默认情况下,即使请求包含无效的URI,Apache也会接受请求,但是用户将被重定向到服务器的主页。被拒绝的CONNECT请求是正确的行为。
正如上面的链接所详细说明的,您可以手动阻止这些请求,但不需要立即阻止这些请求。
Server Fault用户
发布于 2014-12-24 15:29:50
看起来,服务器几乎被用作web代理。尝试从IP(内部到外部)禁用端口80出站,并查看日志是否继续显示。如果不是的话,也许是时候加强你的安全了.
Server Fault用户
发布于 2014-12-24 15:46:00
对于大多数日志行,您可以在apache中找到关于代理滥用的解释。从末尾开始的第五和第四个,即408作为响应代码被超时请求。没什么好担心的,他们正在扫描。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/654622
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号