Назад | Перейти на главную страницу

Странный журнал доступа Centos 5 Lighttpd

Я исследовал свой журнал доступа Lighttpd и обнаружил некоторые странные вещи, перечисленные ниже. Не знаю, хорошо это или плохо, но согласитесь? Я никогда не был на этих сайтах и ​​использую свои Centos только для хостинга. Не могли бы вы помочь мне разобраться в этих журналах?

87.219.0.18 download.bearshare.com - [26/Sep/2009:12:41:37 +0200] "GET http://download.bearshare.com/BSInstall.exe HTTP/1.0" 404 345 "-" "Mozilla/3.0 (compatible)"
87.219.17.44 proxyworld.ifrance.com - [26/Sep/2009:20:13:53 +0200] "GET http://proxyworld.ifrance.com/azenv.php HTTP/1.1" 404 345 "http://proxyworld.ifrance.com/azenv.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
87.219.17.44 proxyworld.ifrance.com - [26/Sep/2009:20:44:12 +0200] "GET http://proxyworld.ifrance.com/azenv.php HTTP/1.1" 404 345 "http://proxyworld.ifrance.com/azenv.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
118.168.162.245 - - [27/Sep/2009:12:43:58 +0200] "CONNECT 220.132.13.98:25 HTTP/1.0" 501 357 "-" "-"
125.224.203.130 203.188.201.253:25 - [28/Sep/2009:00:28:09 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-"
69.46.23.47 174.34.157.98 - [28/Sep/2009:23:48:54 +0200] "GET http://174.34.157.98/proxychecker/check.cgi?action=getinfo HTTP/1.1" 404 345 "http://www.google.com/search?hl=ru&q=free+proxy+checker&sourceid=navclient-ff&ie=UTF-8" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
125.224.203.130 203.188.201.253:25 - [28/Sep/2009:23:58:14 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-"
124.133.252.204 www.yahoo.com - [29/Sep/2009:10:25:59 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1953 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Win2000)"
124.11.136.231 72.14.221.111:25 - [29/Sep/2009:14:59:51 +0200] "CONNECT 72.14.221.111:25 HTTP/1.1" 501 357 "-" "-"
125.224.197.97 203.188.201.253:25 - [01/Oct/2009:01:30:56 +0200] "CONNECT 203.188.201.253:25 HTTP/1.1" 501 357 "-" "-"

Похоже, кто-то пытается использовать ваш сервер lighttpd в качестве прокси-сервера. Это означает, что они подключаются к вам и просят вас загрузить веб-страницу или загрузить файл от их имени, а затем прозрачно отправить его обратно. Общие причины, по которым люди делают это:

  • Чтобы обойти корпоративные или государственные брандмауэры. Например, хост 87.219.0.18 может не подключиться к bearshare.com, но он может подключиться к вам, и вы можете подключиться к bearshare.com. Если они могут сделать ваш веб-сервер прокси своим соединением, они все равно смогут попасть на сайт.
  • Чтобы скрыть свою личность. Что касается bearshare.com, то к ним подключается вы, а не 87.219.0.18.

Как это часто бывает, вы блокируете большинство из них, на что указывают коды HTTP 404 и 501. Однако при подключении 124.133.252.204 к yahoo.com был получен код 200, что означает успех. Вы обязательно должны проверить конфигурацию lighttpd и убедиться, что mod_proxy ограничено или отключено (если вы не собираетесь предлагать бесплатные прокси-услуги).