약 1 년 전에 내 VPS 서버에 mod_pagespeed를 설치하고 설정하여 실행 상태로 두었습니다. 최근에 내 서버에서 파일을 탐색하고 페이지 캐시 캐시 폴더로 이동하여 이상한 폴더를 발견했습니다.mod_pagespeed 캐시 폴더의 이상한 도메인
모든 폴더는 보통 IP 주소로이 방법으로 ,2Fwww.mydomain.com 또는 ,2F111.111.111.111으로 이름이 지정됩니다. 내가 좋아하는 나에게 속하지 않는 일부 도메인을보고 놀랐습니다 :
24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru
일이 벌어지고 내 서버가 손상되었다, 어떤 합리적인 설명이있다?
그건 특이 해 보입니다. 캐시 폴더의 모든 내용은 mod_pagespeed가 다시 쓰려고 시도한 파일이어야합니다.
1) 타사 리소스 (다른 도메인 또는 Google Analytics 스크립트의 이미지)를 참조하고 명시 적으로 해당 도메인의 다시 쓰기를 ModPagespeedDomain www.example.com으로 설정 한 경우 다음과 같은 두 가지 방법으로 문제가 발생할 수 있습니다. 또는 ModPagespeedDomain *.
2) 서버가 유효하지 않은 호스트 헤더로 HTTP 요청을 허용하는 경우. 시도하십시오 (예 : wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html). 서버가 mod_pagespeed에 잘못된 기본 도메인을 제공하는 요청을 수락하면 하위 도메인이 동일한 도메인에서 가져옵니다 (따라서 www.yourdomain.com/foo/bar.html이 some.jpeg를 참조하고 서버 잘못된 호스트 헤더를 받아들이면 www.fbi.gov/foo/some.jpeg를 리소스로 가져올 수 있습니다. 최근의 보안 릴리스에서 이러한 모든 하위 요청이 localhost (타사 웹 사이트가 아닌)에 대해 수행되도록했습니다. 참조 : https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001
이러한 폴더를 살펴보고 특정 리소스가 무엇인지 확인할 수 있습니다. 가장 큰 관심사는 사용자가 XSS 공격을 시도하거나 다른 웹 사이트 (예 : www.fbi.gov)에 대한 DDoS 공격을 서버에서 하나의 벡터로 사용하려고한다는 것입니다. 나는이 폴더가 귀하의 서버 자체가 손상되었음을 나타내는 것이라고 생각하지 않습니다.
자세한 내용을 보려면 https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss이 (가) 가입하고 이메일을 보내주십시오.
설명 답을 보내 주셔서 감사합니다. 시스템 이음새가 깨끗한 상태에서 'mod_pagespeed'의 버그로 인해 발생했으며, 라이브러리를 업데이트하기 전에 모든 파일이 만들어 졌다고 생각됩니다. – Nazariy
어떻게이 문제가 있었습니까? DotNetNuke 사이트에서 나에게 비슷한 일이 발생했습니다. – Thanos