我正在對今天早上發生的系統故障進行故障排除,並在不久前發現了這些日誌條目。在我看來,這些應該返回 404...對嗎?我該擔心嗎?
80.82.76.76 - - [13/Aug/2021:09:20:15 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
80.82.76.76 - - [13/Aug/2021:09:37:12 -0400] "GET http://azenv.net/ HTTP/1.1" 200 569
我如何用 cURL 或 postman 重現這個?當我剛剛放入瀏覽器時,http://mydomain/http://azenv.net/它會在日誌中顯示,並以開頭/開頭。它也轉到 https 並且不會顯示在我的 http 日誌中。
答案1
我發現這個資源徹底解釋了這個問題:
https://cwiki.apache.org/confluence/display/httpd/ProxyAbuse
我能夠透過運行看到攻擊者看到的結果
telnet mydomain.com 80
GET http://azenv.net/ HTTP/1.1
Host: azenv.net
[press enter twice]
我的伺服器只傳回預設主頁,而不是從 azenv.net 載入的資料。這就是 200 狀態代碼的原因。沒有漏洞被利用。上述資源解釋瞭如何根據需要更改此行為。