在我的日志中,我总是收到很多:
"CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-" "CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-" ... "CONNECT XXX.XXX.XXX.XXX:443 HTTP/1.0" 404 218 "-" "-" 这是一些特定的漏洞?
HTTP CONNECT用于隧道。 Apache通过使用mod_proxy_connect支持这一点。
支持CONNECT的configuration错误的代理可能是一个安全漏洞,所以如果你不需要它,你应该禁用它。
我不确定Apache如何响应CONNECT请求,如果这些请求没有启用,但似乎不太可能; 我宁愿期待405或501.因此,你应该检查你的configuration。
这可能是尝试使用您的服务器作为代理,可能来自bot-net病毒或脚本kiddie。 具体来说,(可能)某人可以telnet到你的盒子里,就像这样:
$ telnet localhost 80 Trying ::1... Connected to localhost. Escape character is '^]'. CONNECT google.ca 80 HTTP/1.1 400 Bad Request Connection: close Content-Type: text/html; charset=iso-8859-1 [more header data ... ] <html ... />
你在那个盒子上运行邮件服务器吗? 您是否有防火墙日志,指出重复连接或尝试连接端口25?
这两篇文章详细介绍了这个问题的两个故障排除案例:
结合起来,他们提供了一些修复(我将为后人总结,但你应该阅读整个线程的上下文):
<Limit CONNECT>Deny from all</Limit>在一起 mod_proxy 。 注意不要返回404 (特别是200 )的行,因为这可能表示他们成功地访问了一些资源,这本身并不一定令人烦恼。