Webセキュリティの小部屋

ホーム > ブログ > Connection attempts using mod_proxy というログが気になる

公開日：2014年3月29日

Connection attempts using mod_proxy というログが気になる

Web サーバーのログをチェックしていたら、以下のようなログが logwatch で表示されました。

Connection attempts using mod_proxy:
61.228.xxx.xxx. -> mx3.xxx.com.tw:25: 1 Time(s)
61.231.xxx.xxx. -> mx3.xxx.com.tw:25: 1 Time(s)

mod_proxy は使っていないのにおかしいなと思ってネットで調べてみると、このログはメールサーバーを踏み台に使用しようとしたときに表示されるようですね。

mod_proxyを利用していないのにCONNECT成功のログ？

そして、Apache の仕様で踏み台にされた訳でもないのに、ステータスコードで 200 が返されることがあるとのこと。

仕様とはいえ気持ち悪いですね。

ちなみに、ModSecurity を入れている環境だと、以下のように 403 でアクセスを拒否してくれていました。

Requests with error response codes
403 Forbidden
mx3.xxx.com.tw:25: 2 Time(s)

ModSecurity を導入して、ログを監視していると、WAF (Web Applicaiton Firewall) は推奨レベルから必須レベルに移行しつつあるんだなと実感します。

スポンサーリンク

« 日本ベリサインの社名変更に思うこと

正しいリダイレクトの解説記事がよい感じ »

カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

コメントを残すコメントをキャンセル

プロフィール

名前：fnya
SE としての経験は１５年以上。業務システムの経験が多いですが、セキュリティにも携わっていました。現在は、趣味でセキュリティを追っかけています。情報セキュリティスペシャリスト。

現在、Enty で支援を受け付けています。もしよければご支援ください。

Follow @fnya

最近の記事

ラックが無償で提供するPCのセキュリティ状況を診断する「自診くん」を試してみた

[ランサムウェア対策]ネットワークドライブは net use コマンドで使用時のみ接続しよう

SiteGuard Lite(WAF)のレポートを見るとびっくりするほど攻撃を受けている件

SiteGuard Lite で「java.io.IOException: Stream closed」エラーでレポートが出力されなくなった場合の解消方法

Content Security Policy(CSP)をサイトに適用しました(Analytics,Adsenseも動くよ）

カテゴリ

おすすめ書籍

体系的に学ぶ安全なWebアプリケーションの作り方
言わずと知れたWebアプリケーションセキュリティの定番教科書。「徳丸本」として親しまれています。

徳丸浩のWebセキュリティ教室
「徳丸本」の後に出版され、「徳丸本」がカバーしていない内容を扱っています。最新動向も押さえられています。
レビュー記事

基本がわかる安全設計のWebシステム
コードの記載なしでWebアプリケーションセキュリティの基本を、正しく解説している良書です。PM、SE、初心者に向いています。
レビュー記事