最近的漏洞掃描表明,運行 Windows 2012 R2 IIS 8.5 的伺服器具有開放代理程式。
我在 web.config 檔案或 IIS 8.5 中找不到任何使我相信存在代理的資訊。
Nexpose 的回覆如下。
HTTP HEAD request to http://www.google.com/
HTTP response code was an expected 200
1: ...=2018-02-24-03; expires=Mon, 26-Mar-2018 03:38:51 GMT; path=/; doma...
HTTP header 'Set-Cookie' was present and matched expectation
我嘗試在 3128 上遠端登入我的伺服器,但連線被拒絕。這是 Nexpose 中的誤報嗎?
如果我透過 80 遠端登入伺服器,我會收到此訊息。
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Connection: close
Content-Length: 326
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid Verb</h2>
<hr><p>HTTP Error 400. The request verb is invalid.</p>
</BODY></HTML>
答案1
如果您正在透過網際網路服務測試您的伺服器,而您的伺服器位於啟用了 nat 和連接埠轉送的路由器後面,則可能會發生這種情況。
那你有一些可能性:
- 您的路由器有一些服務正在偵聽此連接埠(有些服務正在執行秘密/未知的服務,這會建立後門)
- 有一些 nat 路由將連接埠 3128 轉送到伺服器上的連接埠 80
如果您在連接埠 3128 上使用 telnet 到伺服器,請確保測試伺服器的每個 IP 位址(因為該服務可能只偵聽一個 IP 位址而不是全部),此測試應包括 127.0.0.1,以防萬一您有指定/公用IP,您也應該嘗試該IP(如果可能來自其他網路/網際網路連線)
如果您可以在伺服器的網際網路 IP 位址上開啟至 3128 的連接,但無法在任何伺服器的 IP 位址上開啟到 3128 的連接,幾乎可以肯定您的路由器正在執行上述選項 1 或 2。