web-dev-qa-db-ja.com

Logwatch:mod_proxyを使用した接続試行

今日、ログファイルに次のエントリがあることに気づきました。

Connection attempts using mod_proxy:
175.180.113.83 -> 66.135.210.61:80: 1 Time(s)

これは、通常はログに表示されないものです。これについていくつか質問があります。

  1. これは実際にはどういう意味ですか?これは、誰かがプロキシ接続を介して私のサーバーにアクセスしようとしたことを意味しますか?
  2. 最初のIPアドレスは何ですか?これは発信元IPですか?
  3. 2番目のIPアドレスは何ですか?これは彼らがプロキシとして使用したサーバーですか?
  4. 2と3について私が言ったことが正しければ、Logwatch(またはLinuxでこれを解決しているもの)が発信元IPをどのように検出できるのでしょうか。プロキシは匿名性を助け、発信元のIPアドレスが完全にマスクされるようにすることになっていると思いましたか?
  5. これは何を意味するのでしょうか?これらのリクエストは通常​​、追加のセキュリティホールを探しているボットからのものですか?サーバーにアクセスするためにプロキシを経由することの穴は何ですか?

編集:66.135.210.61はeBayに属し、他のIPは台湾の誰かに属しているようです。これは、誰かがeBayを介して私のサーバーにアクセスしたことを意味しますか? eBayのセキュリティは、そのようなことを防ぐのに十分ではないでしょうか?

ありがとう

4
Aaron

それは実際にはあなたが提案したものとは反対の意味です:台湾の人があなたのサーバーを介してeBayにアクセスした(またはアクセスを試みた)。これは、誰かがあなたのマシンをオープンプロキシとして使用していたことを意味します。ほとんどの場合、彼らはあなたがオープンプロキシを設定しているかどうかを調べていました。メッセージに「試行された」と書かれているという事実は、成功しなかったことを示唆しますが、少しグーグルすると、実際に成功したことを意味している可能性があります。 mod_proxyを実行していないことを確認し、必要がない場合はCONNECT動詞を無効にします。

役に立つかもしれないと私が見つけた記事は http://www.davekb.com/browse_computer_tips:logwatch_connection_attempts_using_mod_proxy:txt

6
womble