大约一年前,我在我的VPS服务器上安装了mod_pagespeed,进行了设置并使其保持运行状态。最近我在服务器上浏览文件,转到pagespeed缓存文件夹并发现了一些奇怪的文件夹。
所有文件夹通常以,2Fwww.mydomain.com或,2F111.111.111.111的方式命名为IP地址。我很惊讶地看到一些不属于我的域名,如:
24x7-allrequestsallowed.com
allrequestsallowed.com
m.odnoklassniki.ru
www.fbi.gov
www.securitylab.ru
看起来正在发生狡猾的事情,我的服务器遭到了破坏,是否有任何合理的解释?
答案 0 :(得分:2)
这看起来很奇怪。缓存文件夹中的所有内容都应该是mod_pagespeed尝试重写的文件。我知道有两种方法可以实现:
1)您引用了某些第三方资源(例如来自其他域的图片或Google Analytics分析脚本),并且您已使用ModPagespeedDomain www.example.com或ModPagespeedDomain *明确启用了该域的重写。
2)如果您的服务器接受带有无效主机头的HTTP请求。尝试(例如)wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html。如果你的服务器接受这样的请求,它可能会为mod_pagespeed提供一个不正确的基域,然后从同一个域获取子资源(所以如果www.yourdomain.com/foo/bar.html引用some.jpeg和你的服务器接受无效的主机头,我们可以获取www.fbi.gov/foo/some.jpeg作为资源)。最近有一个安全版本确保所有这些子请求都是针对localhost(而非任意第三方网站)完成的。请参阅:https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001
您可能希望浏览这些文件夹并查看其中的具体资源。我认为你应该拥有的最大问题是,有人可能会尝试对您的用户执行XSS攻击,或者可能尝试对另一个网站(如www.fbi.gov)进行DDoS攻击,将您的服务器用作一个向量。我认为这些文件夹并不表示您的服务器本身已被盗用。
如果您想进一步讨论此问题,https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss是一个很好的加入和发送电子邮件的列表。