祝日明けの木曜日、システムのログに怪しい記録がありました。
毎日、定期的にEメールで送られるログの内容では、こんなの。
Connection attempts using mod_proxy:
111.248.118.154 -> 163mx01.mxmail.netease.com:25: 1 Time(s)
さっそく、httpd をチェックしたら、これっぽいのがありました。
xxxxxxxxxx-access_log:111.248.118.154 – – [23/Nov/2016:10:03:44 +0900] “CONNECT
163mx01.mxmail.netease.com:25 HTTP/1.0” 404 21593 “-” “-”
http の「CONNECT」という接続があるとは知りませんでした。
さっそくネットで調べると、典型的な踏み台攻撃のようです。
まず、Webサーバーへの接続で「CONNECT」は、ssh でプロキシー接続する際に
使われる通信だそうです。httpd の mod_proxy.so モジュールが使われます。
何も考えずに、 httpd.conf でこの機能を有効にしておくと、踏み台にされてしまうそうです。
特に、今回のような25番ポートへのアクセスは間違いなく攻撃です。
幸い、今回攻撃対象になったサーバーでは、プロキシーは無効になっていました。
そのため、CONNECT への接続に対して、「HTTP/1.0 404」(Not found) を発行しています。
今回は、穴を探しに来ただけで、これであきらめてくれたようです。
発信元は台湾みたいですが、ただの踏み台かもしれません。
