Web サーバーのログをチェックしていたら、以下のようなログが logwatch で表示されました。
Connection attempts using mod_proxy:
61.228.xxx.xxx. -> mx3.xxx.com.tw:25: 1 Time(s)
61.231.xxx.xxx. -> mx3.xxx.com.tw:25: 1 Time(s)
mod_proxy は使っていないのにおかしいなと思ってネットで調べてみると、このログはメールサーバーを踏み台に使用しようとしたときに表示されるようですね。
そして、Apache の仕様で踏み台にされた訳でもないのに、ステータスコードで 200 が返されることがあるとのこと。
仕様とはいえ気持ち悪いですね。
ちなみに、ModSecurity を入れている環境だと、以下のように 403 でアクセスを拒否してくれていました。
Requests with error response codes
403 Forbidden
mx3.xxx.com.tw:25: 2 Time(s)
ModSecurity を導入して、ログを監視していると、WAF (Web Applicaiton Firewall) は推奨レベルから必須レベルに移行しつつあるんだなと実感します。
コメント