« 2014年3月 | トップページ | 2015年5月 »

2014年10月の1件の記事

2014/10/24

WebサーバーのProxy機能を利用されて踏み台にされてた件

2014年10月のある日、自宅サーバーのHDDアクセスランプが常時チカチカと。
ウチのWebコンテンツは最近見に来る人少ないはずなんだけど。 Anonymous FTP でのアップロードは許可してるけど、これまた最近は利用しに来る人いないし。
httpd-access.log を見てみると、CONNECTメソッドでのアクセスとか、外部URLでのGETメソッドなのになぜか「200 OK」だったりするアクセスがガンガンと。
そこで「apache CONNECT メソッド」でググって見ると…、「WebサーバーのProxy機能を利用した攻撃」的な記事がわらわらと。しかも投稿日が2005年位から。そんな古典的な手法があったなんて知らなかったよ!orz
ウチは Document root のデフォルトが CGI で動的生成なので、Proxy機能が自動有効になるらしい。
それではと過去ログをチェック。
zgrep 'GET http' /var/log/httpd-access.log.*.gz
うわ!少なくとも2012年には踏み台に利用されてるじゃん! アクセス数が少ないから気付かなかったYO!
悪党の片棒的な中継は、SMTPポートの中継とP2Pの中継と思われるもの。 メールサーバーは当初から対策してるので安心してたらWebサーバー経由でSPAMメールの中継できちゃうのかorz
正当なProxy利用的な中継は、中国のIPから普通のWebサイトを中継閲覧してるもの。もしかして当局の閲覧規制を回避する為なのかな。←こういうのは人道的には応援したい。
ともかく穴を塞がねばっ。 各種解説サイトを参考に httpd.conf へ記述追加っ。
【該当部分のみ記載。下記をそれぞれ適切なディレクティブ内へ書き書き。Apache 1.3用w】
------------>8-------------切り取り線---始------------->8------------
        ### 特殊なメソッドは全拒否 ###
        <LimitExcept GET POST>
            Order deny,allow
            Deny from all
        </LimitExcept>
------------>8-------------切り取り線---終------------->8------------
------------>8-------------切り取り線---始------------->8------------
        ### GET は通ってしまうので mod_rewrite で対処 ###
        RewriteEngine on
        RewriteCond %{HTTP_HOST} !^127\.0\. [NC]
        RewriteCond %{HTTP_HOST} !^192\.168\. [NC]
        RewriteCond %{HTTP_HOST} !^dcg\.pgw\.jp$ [NC]
        RewriteCond %{HTTP_HOST} !^www\.dcg\.pgw\.jp$ [NC]
        RewriteRule .*  -  [F,L]
------------>8-------------切り取り線---終------------->8------------
------------>8-------------切り取り線---始------------->8------------
    ### ログを分離 ###
    SetEnvIf Request_Method "[A-Za-z]" proxy
    SetEnvIfNoCase Host "^127\.0\." !proxy
    SetEnvIfNoCase Host "^192\.168\." !proxy
    SetEnvIfNoCase Host "^dcg\." !proxy
    SetEnvIfNoCase Host "^www\.dcg\." !proxy
    SetEnvIf Request_Method "CONNECT" proxy=1
    SetEnvIf Request_Method "^[A-Za-z]$" proxy=1
 
    SetEnvIf Request_Method "[A-Za-z]" log
    SetEnvIf proxy "1" !log
    CustomLog /var/log/httpd-access.log combined env=log
    CustomLog /var/log/httpd-proxy.log combined env=proxy
------------>8-------------切り取り線---終------------->8------------
ふぅ、対処完了♪(ここ1、2日見ている限り、ちゃんと動いてるみたい。)

| | コメント (0) | トラックバック (0)

« 2014年3月 | トップページ | 2015年5月 »