최근 취약점 검색에 따르면 Windows 2012 R2 IIS 8.5를 실행하는 서버에 개방형 프록시가 있는 것으로 나타났습니다.
web.config 파일이나 IIS 8.5에서 프록시가 있다고 믿을 수 있는 정보를 찾을 수 없습니다.
Nexpose의 답변은 다음과 같습니다.
HTTP HEAD request to http://www.google.com/
HTTP response code was an expected 200
1: ...=2018-02-24-03; expires=Mon, 26-Mar-2018 03:38:51 GMT; path=/; doma...
HTTP header 'Set-Cookie' was present and matched expectation
3128에서 내 서버에 텔넷을 시도했지만 연결이 거부되었습니다. Nexpose에서는 이것이 오탐지입니까?
80번 서버에 텔넷으로 연결하면 이 메시지를 받게 됩니다.
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Connection: close
Content-Length: 326
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid Verb</h2>
<hr><p>HTTP Error 400. The request verb is invalid.</p>
</BODY></HTML>
답변1
인터넷 서비스에서 서버를 테스트하고 서버가 NAT 및 포트 전달이 활성화된 라우터 뒤에 있는 경우일 수 있습니다.
그렇다면 몇 가지 가능성이 있습니다.
- 라우터에는 이 포트를 수신하는 일부 서비스가 있습니다(일부에는 백도어를 생성하는 비밀/알 수 없는 서비스가 실행 중임).
- 서버의 포트 3128을 포트 80으로 전달하는 일부 nat 경로가 있습니다.
포트 3128에서 서버에 대한 텔넷을 사용하는 경우 서버의 모든 IP 주소를 테스트해야 합니다(서비스가 전부가 아닌 하나의 IP 주소만 수신할 수 있으므로). 이 테스트에는 127.0.0.1이 포함되어야 합니다. 기본/공용 IP인 경우 해당 IP도 시도해야 합니다(가능한 경우 다른 네트워크/인터넷 연결에서).
서버의 인터넷 IP 주소에서 3128에 대한 연결을 열 수 있지만 서버의 IP 주소에서는 열 수 없다면 라우터가 위에서 설명한 대로 옵션 1이나 2를 수행하고 있는 것이 거의 확실합니다.