この Web サーバーのログ エントリは何を示していますか?

tag-icon tag-icon web-server
この Web サーバーのログ エントリは何を示していますか?

今朝発生したシステム障害のトラブルシューティングを行っており、その直前にこれらのログ エントリを見つけました。これらは 404 を返すはずですが、そうでしょうか? 心配すべきでしょうか?

80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569

これを cURL または postman で再現するにはどうすればよいでしょうか? ブラウザに入力すると、http://mydomain/http://azenv.net/ログに/先頭に が表示されます。また、https にアクセスしますが、http ログには表示されません。

答え1

この問題を詳しく説明している次のリソースを見つけました:

https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse

攻撃者がどのような結果を見ているかを確認するには、

telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]

私のサーバーは、azenv.net から読み込まれたデータではなく、デフォルトのホームページを返しました。これが 200 ステータス コードの原因です。脆弱性は悪用されていません。上記のリソースでは、必要に応じてこの動作を変更する方法について説明しています。

関連情報