作者j122557981r (naomie)
看板Linux
標題[問題] apache關閉proxyRequests
時間Thu Feb 8 15:48:04 2018
大家好,目前遇到問題找不到解決方法
而且也蠻弔詭的,想問問大家的意見
系統版本:Centos 6.9
核心版本:2.6.32-696.3.2.el6.x86_64
apache版本:2.2.15
昨日收到資安通報,我們的主機被通報為殭屍主機對外部一直連線
apache的access.log有很多GET訊息,以下為其中一段
"GET
http://m.baidu.com/ HTTP/1.1" 200 94194 "-" "Mozilla/5.0 (Linux; Android
4.
"GET /meciyaqf.html HTTP/1.1" 404 298 "-" "Mozilla/5.0 (compatible; Googlebot/
2.
而我追查發生的時間點有這麼一段訊息
"GET
http://proxy.httpdaili.com/ip.asp?ip=我方主機IP&dk=80 HTTP/1.1" 200 23 "-
"
出現這段後就開始瘋狂來自四面八方的IP來GET外部網域,感覺是被加入代理伺服器。
但是主機的apache設定檔內的proxyRequests是被註解的,我們也沒使用proxy
我是過很多方法,解開註解設定成ProxyRequests Off,但也是沒有效果
想請教大家有沒有遇過這樣的情形
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.103.133
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1518076091.A.AC7.html
推 Alica: 直接把mod_proxy系列的模組通通拔掉試試02/08 16:03
我試過註解LoadModule有關proxy的套件,無效
將/usr/lib64/httpd/modules底下有關proxy的套件移到別的目錄,無效
救命~
※ 編輯: j122557981r (60.250.103.133), 02/08/2018 16:22:20
→ cs8425: 先確定一下對外連線是mod_proxy的鍋?02/08 20:17
→ cs8425: 有跑php之類的嗎? 說不定是程式有洞被當跳板/塞後門02/08 20:18
→ Alica: log那個GET m.baidu.com回200 跟php之類script無關吧 02/08 20:44
→ fashionjack: $setup =>取消squid的選取=> reboot 02/08 21:08
→ fashionjack: 你有設定iptable防火牆嗎?02/08 21:09
先謝謝各位的意見
程式是跑php沒錯,我把apache根目錄更名然後創html目錄裡面放簡單的index.php,但還
是會一直對外GET。
主機有iptables,原本是80對外全開,被通報後已將規則關起來。就不會對外GET
所以我一直懷疑是apache proxy的問題。
※ 編輯: j122557981r (114.36.182.196), 02/08/2018 21:35:50
→ fashionjack: proxy的port是3128。 02/13 08:20