Я устраняю системный сбой, который произошел сегодня утром, и обнаружил эти записи журнала незадолго до этого. По-моему, они должны возвращать 404... верно? Стоит ли мне беспокоиться?
80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
Как бы я воспроизвел это с помощью cURL или postman? Когда я просто ввожу браузер, http://mydomain/http://azenv.net/он отображается в журнале с a /в начале. Также он переходит на https и не отображается в моем журнале http.
решение1
Я нашел этот ресурс, который подробно объясняет эту проблему:
https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse
Я смог увидеть, какой результат получил злоумышленник, запустив
telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]
Мой сервер просто вернул домашнюю страницу по умолчанию вместо данных, загруженных с azenv.net. Это причина кода статуса 200. Никакая уязвимость не была использована. Вышеуказанный ресурс объясняет, как можно изменить это поведение, если это необходимо.