url da un altro dominio nel mio registro di accesso

9

La maggior parte delle volte in cui cerco errori 404 nel mio access.log , vedo tentativi di accedere a qualcosa come /phpMyAdmin/scripts/setup.php . Questo non mi infastidisce così tanto, ma pochi giorni fa sono rimasto sorpreso perché l'ho visto nel mio access.log

95.47.119.124 - - [19/Aug/2013:11:30:31 +0000] "GET http://server7.cyberpods.net/azenv.php HTTP/1.1" 404 3080 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"
223.220.68.129 - - [21/Aug/2013:00:55:46 +0000] "GET http://www.baidu.com/ HTTP/1.1" 404 3080 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"

Ciò che mi sorprende è che qualcuno sta tentando di accedere non a qualche URL pertinente sul mio dominio, ma a qualcosa di assolutamente diverso.

Ho due domande:

  1. Come stanno facendo?
  2. Qual è la ragione dietro a questo?
posta Salvador Dali 22.08.2013 - 23:24
fonte

2 risposte

10

benvenuto agli intertubes !!!

What is the reason behind it?

ciò che vedi sono scansioni per i proxy aperti, ad es. qualcuno sta cercando se possa abusare del tuo server per navigare in altri siti.

il primo sembra molto interessante, perché sembra uno scanner; quando si controlla il collegamento (si prega di NON fare clic su quello con un browser), restituirà:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"><head><title>AZ Environment variables 1.04</title> </head><body><pre>
HTTP_USER_AGENT = Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
HTTP_HOST = server7.cyberpods.net
HTTP_CACHE_CONTROL = max-age=43200
HTTP_CONNECTION = keep-alive
REMOTE_ADDR = 80.226.24.11
REMOTE_PORT = 45993
REQUEST_METHOD = GET
REQUEST_URI = /azenv.php
REQUEST_TIME = 1377237144

How are they doing it?

utilizzando gli strumenti e pubblicando GET-request direttamente

no magique affatto:)

btw, ci si abitua, installa cose come ossec e vedrai molti più scanner brute-forzare il tuo sito web per wp / phpmyadmin / joomla - qualunque-eyploits tutto il giorno

    
risposta data 23.08.2013 - 08:16
fonte
0

L'indirizzo IP che un browser invia una richiesta di solito corrisponde al FQDN nell'intestazione della richiesta. Questo perché un browser normalmente ottiene l'indirizzo IP eseguendo una query DNS per il FQDN. In questo caso, qualcuno sta semplicemente inviando una richiesta per un'altra pagina al tuo indirizzo IP.

Dove questo entra normalmente in gioco è quando un singolo indirizzo IP ospita più siti web. Diversi FQDN risolvono tutti lo stesso indirizzo IP in questi casi. L'intestazione della richiesta con l'URL richiesto è la modalità con cui il server su quel singolo indirizzo IP sa quale pagina servire.

Per quanto riguarda il motivo alla base, potrebbe essere per una serie di motivi, dal non intenzionale al nefasto. Potrebbe essere qualcuno che abbia una voce host che mappa l'FQDN di un altro sito al tuo indirizzo IP, oppure potrebbe essere qualcuno che controlla il tuo server per vedere se controlla il nome del sito nell'intestazione della richiesta o se è configurato solo per un sito e non lo fa t preoccuparsi di controllare l'intestazione.

Per riassumere, se non sei preoccupato di analizzare le directory inesistenti, non preoccuparti degli host inesistenti ...

    
risposta data 22.08.2013 - 23:42
fonte

Leggi altre domande sui tag