3

約 1 年前、VPS サーバーに mod_pagespeed をインストールし、セットアップして実行したままにしました。最近、サーバー上のファイルを調べていて、pagespeed キャッシュ フォルダーに移動し、いくつかの奇妙なフォルダーを発見しました。

,2Fwww.mydomain.com通常、この方法で、または,2F111.111.111.111IP アドレスの名前が付けられたすべてのフォルダー。次のような、自分に属さないドメインがいくつかあることに驚きました。

24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru

何か怪しいことが起こっているようですが、サーバーが侵害されたのでしょうか。何か合理的な説明はありますか?

4

1 に答える 1

2

それは奇妙に見えます。キャッシュ フォルダー内のすべてのファイルは、mod_pagespeed が書き換えようとしたファイルである必要があります。これが発生する可能性があることを私が知っている2つの方法があります。

1) サードパーティのリソース (別のドメインの画像や Google アナリティクス スクリプトなど) を参照し、ModPagespeedDomain www.example.comまたはでそのドメインの書き換えを明示的に有効にしましModPagespeedDomain *た。

2) サーバーが無効な Host ヘッダーを含む HTTP リクエストを受け入れる場合。(たとえば) を試してくださいwget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html。サーバーがそのようなリクエストを受け入れる場合、mod_pagespeed に間違ったベース ドメインを提供している可能性があり、サブリソースは同じドメインから取得されます (そのため、www.yourdomain.com/foo/bar.html が some.jpeg を参照し、サーバーが無効なホスト ヘッダーを受け入れる場合、www.fbi.gov/foo/some.jpeg をリソースとして取得できます)。最近のセキュリティ リリースでは、これらのサブリクエストがすべて localhost (任意のサード パーティの Web サイトではない) に対して実行されるようにしています。参照してください: https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001

これらのフォルダーを調べて、そこにある特定のリソースを確認することをお勧めします。あなたが持つべき最大の懸念は、誰かがあなたのサーバーを 1 つのベクトルとして使用して、あなたのユーザーに対して XSS 攻撃を実行しようとしているか、別の Web サイト (www.fbi.gov など) に対して DDoS 攻撃を実行しようとしている可能性があることです。これらのフォルダーが、サーバー自体が危険にさらされていることを示しているとは思いません。

これについてもっと議論したい場合は、https://groups.google.com/forum/?fromgroups# !forum/mod-pagespeed-discussに参加してメールするのに適したリストです。

于 2012-10-04T17:52:41.400 に答える