Meaningless Notebook

我輩は雑記帖である。名はまだない。


気になるAccess_logメッセージ第二弾。

123.59.59.52 - - [26/Sep/2016:08:41:00 +0900] "GET http://www.mafengwo.cn/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
123.59.59.52 - - [26/Sep/2016:08:41:02 +0900] "GET http://www.mafengwo.cnhttp/www.mafengwo.cn/ HTTP/1.1" 404 214 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"

ブログ公開のお客様がアタッカーばっかりで悲しい (笑)。

結論としては、特に対策せず放置。

必死にぐぐった結果、前回の『Access_logに “CONNECT hogehoge.com:25 HTTP/1.0” 200 が出力される』と類似。

公開しているWebサーバをプロキシとして利用して別のサーバへアクセスしようとしている…っぽい。

で、このサーバはリバースプロキシは使用していない。

だから全ての要求は、このサーバ上のコンテンツを探して結果を要求元に返す。

一行目は、要求を受け取ったけど『https://gokugetsu.org/www.mafengwo.cn/』に再度要求しろと返している (HTTPステータスコード:301)

で二行目は、一行目で指定されたURLへ要求を行ったけど、このWebサーバ上にそんなURL存在しないよって返している (HTTPステータスコード:404)

動作としては、問題ない…と思う。

ちなみに上記事象の再現はtelnetで行えた。

console

C:\Users\hogehoge>telnet gokugetsu.plala.jp 80
Trying XXX.XXX.XXX.XXX...
Connected to gokugetsu.plala.jp.
Escape character is '^]'.
GET http://www.yahoo.com/ HTTP/1.1
host:gokugetsu.plala.jp

HTTP/1.1 301 Moved Permanently
Date: Mon, 26 Sep 2016 19:21:24 GMT
Server: Apache
Location: https://gokugetsu.orghttp/www.yahoo.com/
Content-Length: 0
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

C:\Users\hogehoge>telnet gokugetsu.plala.jp 80
Trying XXX.XXX.XXX.XXX...
Connected to gokugetsu.plala.jp.
Escape character is '^]'.
GET https://gokugetsu.orghttp/www.yahoo.com/ HTTP/1.1
host:gokugetsu.plala.jp

HTTP/1.1 404 Not Found
Date: Mon, 26 Sep 2016 19:22:21 GMT
Server: Apache
Content-Length: 212
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /www.yahoo.com/ was not found on this server.</p>
</body></html>
Connection closed by foreign host.

Access_log

58.95.195.217 - - [27/Sep/2016:04:21:24 +0900] "GET http://www.yahoo.com/ HTTP/1.1" 301 - "-" "-"
58.95.195.217 - - [27/Sep/2016:04:22:21 +0900] "GET https://gokugetsu.orghttp/www.yahoo.com/ HTTP/1.1" 404 212 "-" "-"

とりあえず、確認した上記挙動で害があるとは思えなかったので放置にした。

この認識が誤りだったら教えてくれ下さいお願いします何でも(ry

そもそもこのブログまともなアクセス全然来ないんだけどね (´・ω・`)

参考元

  1. http://wiki.apache.org/httpd/ProxyAbuse (英語)
  2. telnetでブラウズ(HTTP)

Amazon