最近の脆弱性スキャンでは、Windows 2012 R2 IIS 8.5 を実行しているサーバーにオープン プロキシがあることが示されています。
web.config ファイルや IIS 8.5 内にプロキシが存在することを示す情報は見つかりません。
Nexpose からの回答は以下の通りです。
HTTP HEAD request to http://www.google.com/
HTTP response code was an expected 200
1: ...=2018-02-24-03; expires=Mon, 26-Mar-2018 03:38:51 GMT; path=/; doma...
HTTP header 'Set-Cookie' was present and matched expectation
3128 のサーバーに Telnet しようとしましたが、接続が拒否されました。これは Nexpose の誤検知でしょうか?
80 のサーバーに Telnet すると、このメッセージが表示されます。
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Connection: close
Content-Length: 326
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid Verb</h2>
<hr><p>HTTP Error 400. The request verb is invalid.</p>
</BODY></HTML>
答え1
これは、インターネット サービスからサーバーをテストしていて、サーバーが NAT とポート転送が有効になっているルーターの背後にある場合に発生する可能性があります。
その場合、いくつかの可能性があります:
- ルーターにはこのポートをリッスンするサービスがあります (一部は秘密/不明なサービスが実行されており、バックドアが作成されます)
- サーバーのポート3128をポート80に転送するNATルートがあります
ポート 3128 でサーバーに Telnet を使用している場合は、サーバーのすべての IP アドレスをテストしてください (サービスは 1 つの IP アドレスのみをリッスンしている可能性があり、すべてではない可能性があるため)。このテストには 127.0.0.1 を含める必要があります。また、ネイテッド/パブリック IP がある場合は、その IP も試してください (可能であれば、他のネットワーク/インターネット接続から)。
サーバーのインターネット IP アドレス 3128 への接続は開けるが、サーバーのどの IP アドレスでも開けない場合は、ルータが上記のオプション 1 または 2 のいずれかを実行している可能性がほぼ確実です。