大约一年前,我在我的 VPS 服务器上安装了 mod_pagespeed,对其进行设置并使其运行。最近,我正在探索服务器上的文件,进入 pagespeed 缓存文件夹,发现了一些奇怪的文件夹。
所有文件夹通常都以这种方式命名,2Fwww.mydomain.com
or ,2F111.111.111.111
对于 IP 地址。我很惊讶地发现一些不属于我的域名,例如:
24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru
看起来好像发生了一些狡猾的事情,我的服务器是否被破坏了,有什么合理的解释吗?
这看起来确实很奇怪。缓存文件夹中的所有内容都应该是 mod_pagespeed 尝试重写的文件。据我所知,有两种方法可以实现这种情况:
1)您引用了一些第三方资源(例如来自另一个域的图像,或谷歌分析脚本)并且您已明确启用该域的重写ModPagespeedDomain www.example.com
or ModPagespeedDomain *
.
2) 如果您的服务器接受带有无效主机标头的 HTTP 请求。尝试(例如)wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html
。如果您的服务器接受这样的请求,它可能会为 mod_pagespeed 提供不正确的基域,然后将从同一域获取子资源(因此,如果 www.yourdomain.com/foo/bar.html 引用 some.jpeg,并且您的服务器接受无效的主机标头,我们可以获取 www.fbi.gov/foo/some.jpeg 作为资源)。最近的一个安全版本可确保所有这些子请求都是针对本地主机(而不是任意第三方网站)完成的。请参见:https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001 https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001
您可能想要浏览这些文件夹并查看其中有哪些特定资源。我认为您最应该担心的是,有人可能会尝试使用您的服务器作为一个向量,对您的用户进行 XSS 攻击,或者对另一个网站(如 www.fbi.gov)进行 DDoS 攻击。我不认为这些文件夹表明您的服务器本身已受到威胁。
如果您想进一步讨论这个问题,https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss是一个很好的加入和发送电子邮件的列表。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)