* [sisyphus] Q: OPTIONS requests from localhost in Apache access_log
@ 2010-01-13 21:55 Michael Pozhidaev
2010-01-13 23:07 ` Michael Shigorin
0 siblings, 1 reply; 5+ messages in thread
From: Michael Pozhidaev @ 2010-01-13 21:55 UTC (permalink / raw)
To: sisyphus
Привет всем!
С какого-то момента заметил в логе httpd сервера серию странных запросов
следующего вида:
127.0.0.1 - - [13/Jan/2010:21:51:24 +0600] "OPTIONS * HTTP/1.0" 200 -
Странными они кажутся потому, что приходят с localhost, а это точно не
я. В гугле понял, что такое бывает, только не ясно, нормально это или
нет. Система p5.
Vulnerability? Всем спасибо!
--
Michael Pozhidaev. Tomsk, Russia.
E-mail: msp@altlinux.ru
Info: http://www.marigostra.ru/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: OPTIONS requests from localhost in Apache access_log
2010-01-13 21:55 [sisyphus] Q: OPTIONS requests from localhost in Apache access_log Michael Pozhidaev
@ 2010-01-13 23:07 ` Michael Shigorin
2010-01-13 23:33 ` Michael Pozhidaev
0 siblings, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2010-01-13 23:07 UTC (permalink / raw)
To: sisyphus
On Thu, Jan 14, 2010 at 03:55:48AM +0600, Michael Pozhidaev wrote:
> Странными они кажутся потому, что приходят с localhost
nginx перед apache? Если да -- надо включить mod_realip
в apache-1.3 (в нашей сборке давно есть, надо только
сконфигурировать) либо mod_rpaf в apache-2.2.
Примерно так:
---
<IfModule mod_realip.c>
RealIP localhost xfwd
RealIP a.b.c.d xfwd
</IfModule>
--- httpd.conf
---
location / {
proxy_pass http://127.0.0.1/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
}
--- nginx.conf
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: OPTIONS requests from localhost in Apache access_log
2010-01-13 23:07 ` Michael Shigorin
@ 2010-01-13 23:33 ` Michael Pozhidaev
2010-01-13 23:53 ` Michael Pozhidaev
2010-01-14 16:03 ` Michael Shigorin
0 siblings, 2 replies; 5+ messages in thread
From: Michael Pozhidaev @ 2010-01-13 23:33 UTC (permalink / raw)
To: shigorin; +Cc: ALT Linux Sisyphus discussions
Hello, Michael Shigorin!
> On Thu, Jan 14, 2010 at 03:55:48AM +0600, Michael Pozhidaev wrote:
>> Странными они кажутся потому, что приходят с localhost
>
> nginx перед apache? Если да -- надо включить mod_realip
Ничего подобного.Самый примитивный апач. Заметил это даже на двух своих
серверах. На обоих есть php-код. На одном из них он может ловить
аплоады, на втором -- нет.
На одном из них (там, где без аплоадов) ещё wordpress врасчается. Ты
только скажи, это атака или нет?
--
Michael Pozhidaev. Tomsk, Russia.
E-mail: msp@altlinux.ru
Info: http://www.marigostra.ru/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: OPTIONS requests from localhost in Apache access_log
2010-01-13 23:33 ` Michael Pozhidaev
@ 2010-01-13 23:53 ` Michael Pozhidaev
2010-01-14 16:03 ` Michael Shigorin
1 sibling, 0 replies; 5+ messages in thread
From: Michael Pozhidaev @ 2010-01-13 23:53 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Hello, Michael Pozhidaev!
>
> На одном из них (там, где без аплоадов) ещё wordpress врасчается. Ты
> только скажи, это атака или нет?
Щас ещё нашёл такое:
http://wiki.apache.org/httpd/InternalDummyConnection
Странно только, что раньше никогда не налетал на это...
--
Michael Pozhidaev. Tomsk, Russia.
E-mail: msp@altlinux.ru
Info: http://www.marigostra.ru/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: OPTIONS requests from localhost in Apache access_log
2010-01-13 23:33 ` Michael Pozhidaev
2010-01-13 23:53 ` Michael Pozhidaev
@ 2010-01-14 16:03 ` Michael Shigorin
1 sibling, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2010-01-14 16:03 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Thu, Jan 14, 2010 at 05:33:10AM +0600, Michael Pozhidaev wrote:
> Ты только скажи, это атака или нет?
Не знаю точно, но могут нащупывать дырявый WebDAV в старом IIS.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2010-01-14 16:03 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-01-13 21:55 [sisyphus] Q: OPTIONS requests from localhost in Apache access_log Michael Pozhidaev
2010-01-13 23:07 ` Michael Shigorin
2010-01-13 23:33 ` Michael Pozhidaev
2010-01-13 23:53 ` Michael Pozhidaev
2010-01-14 16:03 ` Michael Shigorin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git