GET http://example.com/ HTTP / 1.1 ”200 3421“ - ”“ Go-http-client / 1.1
[12/Sep/2020:05:50:56 +0000] "GET http://example.com/ HTTP/1.1" 200 3421 "-" "Go-http-client/1.1"
Мои журналы доступа к apache зарегистрировали эту строку на сервере. Это похоже на проверку на проникновение или атаку прокси.
Я пытаюсь понять, каковы были намерения злоумышленника и как воспроизвести это, чтобы убедиться, что сервер не был взломан, поскольку он ответил 200.
Кто-то написал программу на Go для подключения к серверам (таким как ваш) и проверки, не настроены ли они как открытые прокси. Многие веб-серверы неправильно настроены, и поэтому они полезны для злоумышленников в качестве платформ для запуска атак, при этом эти атаки не могут быть немедленно отслежены до них.
Если вы включили ProxyRequests где-либо в конфигурации Apache, вы, скорее всего, уязвимы. К сожалению, в Интернете есть несколько плохих руководств, которые советуют включать это, когда это не требуется.
Предполагая, что вы не включили эту директиву, ваш сервер вместо этого будет обслуживать индексный документ верхнего уровня для виртуального хоста по умолчанию, поскольку у вас не будет виртуального хоста, соответствующего запрошенному имени хоста. Если бы вы не изменили эту конфигурацию, это была бы страница «Это работает», поставляемая вашим дистрибутивом. Если вы изменили виртуальный хост по умолчанию, то это будет любой индексный документ, указанный вами в этой конфигурации. Ни в том, ни в другом случае вы не будете уязвимы для использования в качестве открытого прокси.
Наконец, если бы ваш сервер был неправильно настроен как открытый прокси-сервер, его IP-адрес был бы широко распространен, и вы бы увидели очень большой объем трафика, проходящего таким образом, и, возможно, некоторые жалобы на злоупотребления от вашего хостинг-провайдера.