url de otro dominio en mi registro de acceso

9

La mayoría de las veces cuando busco 404 errores en mi access.log , veo intentos de acceder a algo como /phpMyAdmin/scripts/setup.php . Esto no me molesta tanto, pero hace unos días me sorprendí porque vi esto en mi access.log

95.47.119.124 - - [19/Aug/2013:11:30:31 +0000] "GET http://server7.cyberpods.net/azenv.php HTTP/1.1" 404 3080 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"
223.220.68.129 - - [21/Aug/2013:00:55:46 +0000] "GET http://www.baidu.com/ HTTP/1.1" 404 3080 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"

Lo que me sorprende es que alguien está tratando de acceder no a una URL relevante en mi dominio, sino a algo absolutamente diferente.

Tengo dos preguntas:

  1. ¿Cómo lo están haciendo?
  2. ¿Cuál es la razón detrás de esto?
pregunta Salvador Dali 22.08.2013 - 23:24
fuente

2 respuestas

10

bienvenidos a los intertubos !!!

  

¿Cuál es la razón detrás de esto?

lo que ves son escaneos para proxies abiertos, por ejemplo, alguien está buscando si él / ella / ella puede hacer un mal uso de su servidor para navegar por otros sitios.

el primero parece muy interesante, porque parece un escáner; al revisar el enlace (por favor, NO haga clic en eso con un navegador), le devolverá:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"><head><title>AZ Environment variables 1.04</title> </head><body><pre>
HTTP_USER_AGENT = Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
HTTP_HOST = server7.cyberpods.net
HTTP_CACHE_CONTROL = max-age=43200
HTTP_CONNECTION = keep-alive
REMOTE_ADDR = 80.226.24.11
REMOTE_PORT = 45993
REQUEST_METHOD = GET
REQUEST_URI = /azenv.php
REQUEST_TIME = 1377237144
  

¿Cómo lo están haciendo?

utilizando herramientas y emitiendo la GET-request directamente

ninguna magia en absoluto :)

btw, acostúmbrate a ello, instala cosas como ossec y verás muchos más escáneres que forzarán tu página web para wp / phpmyadmin / joomla - lo que sea-eyploits todo el día

    
respondido por el that guy from over there 23.08.2013 - 08:16
fuente
0

La dirección IP a la que un navegador envía una solicitud generalmente coincide con el FQDN en el encabezado de la solicitud. Esto se debe a que un navegador normalmente obtiene la dirección IP al realizar una consulta de DNS para el FQDN. En este caso, alguien simplemente está enviando una solicitud de alguna otra página a su dirección IP.

Donde esto normalmente entra en juego es cuando una sola dirección IP hospeda múltiples sitios web. Varios FQDN todos se resuelven en la misma dirección IP en tales casos. El encabezado de solicitud con la URL solicitada es cómo el servidor en esa única dirección IP sabe qué página debe servir.

En cuanto a la razón detrás de esto, podría ser por una variedad de razones, desde lo no intencional a lo nefasto. Puede ser que alguien tenga una entrada de host que asigne el FQDN del otro sitio a su dirección IP, o podría ser alguien que esté probando su servidor para ver si comprueba el nombre del sitio en el encabezado de la solicitud o si solo está configurado para un sitio y no lo hace. No te molestes en comprobar el encabezado.

Para resumir, si no te preocupan las sondas de los directorios que no existen, tampoco te preocupes por los hosts inexistentes ...

    
respondido por el petiepooo 22.08.2013 - 23:42
fuente

Lea otras preguntas en las etiquetas