Ero stumped quando ho visto le seguenti righe sul registro degli errori del mio server Apache questa mattina:
[authz_core:error] [client ::1:37317] AH01630: client denied by server configuration: /var/www/styles/style.css, referer: http://bd.adm.ijinshan.com/adm.html?adm=somehexdec&t=timestamp [authz_core:error] [client ::1:37317] AH01630: client denied by server configuration: /var/www/scripts/script.js, referer: http://bd.adm.ijinshan.com/adm.html?adm=somehexdec&t=timestamp
Potrei aver accesso ad alcuni forum che attivano il sito per contattare il mio server web. Ma il mio server ha un firewall che è configurato esplicitamente per consentire l'accesso solo da alcuni indirizzi IP interni. Sospetto che potrebbe essere la seguente riga nel mio iptables
config che consente loro di accedere al mio server:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
È vero che se inavvertitamente ho contattato il server accedendo a un iframe nascosto in un forum, sto permettendo al sito web di accedere al mio server? Come ha indovinato la posizione del mio script e foglio di stile dato che potrebbero esserci migliaia di combinazioni di percorsi? E qual è l'intenzione di provare a collegarsi a loro? Potrebbe essere malizioso? Il sito web sembra una compagnia antivirus in Cina.
UPDATE:
Entrando nel registro di accesso del server, ho trovato la seguente riga:
127.0.0.1 GET /adm.html?adm=somehexdec&t=timestamp HTTP/1.1 404 http://snippet.pos.baidu.com/bfp/snippetcacher.php?qn=somehexdec
Ok, ora capisco che il mio server ha pubblicato una pagina di errore 404 personalizzata (ovviamente perché non c'è adm.html
) che contiene lo script e il file css. Quella parte del mistero è stata risolta. Inoltre, le regole del mio firewall sembrano funzionare correttamente poiché l'indirizzo IP 127.0.0.1 rappresenta localhost.
Ora il problema è identificare perché l'accesso a quella pagina su baidu attiva una ricerca sul mio localhost e se si tratta di un problema di sicurezza.