大约一年前,我在我的 VPS 服务器上安装了 mod_pagespeed,设置好它并让它运行。最近我在浏览我的服务器上的文件,去 pagespeed 缓存文件夹并发现了一些奇怪的文件夹。
所有文件夹通常以这种方式命名,2Fwww.mydomain.com或,2F111.111.111.111用于 IP 地址。我很惊讶地看到一些不属于我的域,例如:
24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru
看起来有什么诡异的事情发生了,我的服务器被入侵了,有什么合理的解释吗?
那看起来确实很奇怪。缓存文件夹中的所有内容都应该是 mod_pagespeed 尝试重写的文件。据我所知,有两种方式会发生这种情况:
1)您引用了一些第三方资源(例如来自另一个域的图像,或谷歌分析脚本),并且您已明确启用使用ModPagespeedDomain www.example.comor重写该域ModPagespeedDomain *。
2) 如果您的服务器接受带有无效 Host 标头的 HTTP 请求。尝试(例如)wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html。如果您的服务器接受这样的请求,它可能会为 mod_pagespeed 提供不正确的基本域,然后将从同一域获取子资源(因此,如果 www.yourdomain.com/foo/bar.html 引用 some.jpeg,并且您的服务器接受无效的主机头,我们可以获取 www.fbi.gov/foo/some.jpeg 作为资源)。最近有一个安全版本确保所有这些子请求都是针对 localhost(不是任意第三方网站)完成的。请参阅:https ://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001
您可能想要查看这些文件夹并查看其中有哪些特定资源。我认为您应该最担心的是有人可能试图对您的用户执行 XSS 攻击,或者可能是对另一个网站(如 www.fbi.gov)的 DDoS 攻击,使用您的服务器作为一个载体。我不认为这些文件夹表明您的服务器本身已受到威胁。
如果您想对此进行更多讨论,https://groups.google.com/forum/?fromgroups# !forum/mod-pagespeed-discuss是一个很好的加入和发送电子邮件的列表。