Estoy solucionando un fallo del sistema que ocurrió esta mañana y encontré estas entradas de registro poco antes. En mi opinión, estos deberían devolver 404... ¿verdad? ¿Debería Preocuparme?
80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
¿Cómo reproduciría esto con cURL o cartero? Cuando acabo de iniciar un navegador, http://mydomain/http://azenv.net/aparece en el registro con una /al principio. También va a https y no aparece en mi registro http.
Respuesta1
Encontré este recurso que explica este problema detalladamente:
https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse
Pude ver qué resultado estaba viendo el atacante ejecutando
telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]
Mi servidor acaba de devolver la página de inicio predeterminada en lugar de los datos cargados desde azenv.net. Este es el motivo del código de estado 200. No se aprovechó ninguna vulnerabilidad. El recurso anterior explica cómo podría cambiar este comportamiento si así lo desea.