大约一年前,我在我的 VPS 服务器上安装了 mod_pagespeed,进行了设置并让它继续运行。最近我在浏览我的服务器上的文件,去 pagespeed 缓存文件夹,发现了一些奇怪的文件夹。
所有文件夹通常以 ,2Fwww.mydomain.com 或 ,2F111.111.111.111 的 IP 地址命名。我很惊讶地看到一些不属于我的域,例如:
24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru
看起来有些诡异,我的服务器被入侵了,有什么合理的解释吗?
【问题讨论】:
标签: apache vps mod-pagespeed
这看起来确实很奇怪。缓存文件夹中的所有内容都应该是 mod_pagespeed 尝试重写的文件。我知道有两种可能会发生这种情况:
1) 您引用了一些第三方资源(例如来自另一个域的图像,或谷歌分析脚本),并且您已明确启用使用 ModPagespeedDomain www.example.com 或 ModPagespeedDomain * 重写该域。
2) 如果您的服务器接受带有无效 Host 标头的 HTTP 请求。尝试(例如)wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html。如果您的服务器接受这样的请求,它可能会为 mod_pagespeed 提供不正确的基本域,然后将从同一域获取子资源(因此,如果 www.yourdomain.com/foo/bar.html 引用 some.jpeg,并且您的服务器接受无效的主机头,我们可以获取 www.fbi.gov/foo/some.jpeg 作为资源)。最近有一个安全版本确保所有这些子请求都是针对 localhost(不是任意的第三方网站)完成的。请看:https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001
您可能需要浏览这些文件夹并查看其中有哪些特定资源。我认为您应该最担心的是有人可能试图对您的用户执行 XSS 攻击,或者可能是对另一个网站(如 www.fbi.gov)的 DDoS 攻击,使用您的服务器作为一个载体。我不认为这些文件夹表明您的服务器本身已受到威胁。
如果您想进一步讨论这个问题,https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss 是一个加入和发送电子邮件的好名单。
【讨论】:
mod_pagespeed 中的错误引起的,因为系统接缝要干净,并且所有文件都是在我更新库之前创建的。