При обращению к сайту можно ли как-то поlvtybnm $_SERVER[SERVER_NAME'] и для каких целей это делают?

Question

[svd71]

В логах обращений к сайту обнаружил попытки использовать его как прокси. Но самое интересное, что при этом переменная $_SERVER[SERVER_NAME'] (которая в принципе должна содержать название моего хоста) имела именно измененное значение. Как такое возможно идля каких целей можетбыть использовано?

Comments

[svd71]

очень просто. в лог сохраняется переменные сервера. В том числе и SERVER_NAME.
вот одна такая запись

SERVER_NAME = best-proxies.ru, REMOTE_IP=5.178.86.77, REMOTE_HOST_NAME=5.178.86.77, REQUEST_URI=http://best-proxies.ru/azenv.php?rand=4805211cca89b43e0a556bf77aa18536

вот другая

www.daydaydata.com	
111.73.45.204	
111.73.45.204	
http://www.daydaydata.com/proxy.txt

вот третий артефакт

wikipedia.pl  
178.19.107.26  
d030.neteasy.pl  
http://wikipedia.pl

[svd71]

PS: Почти у всех удаленных хостов замененная SERVER_NAME совпадает с размещенным на IP именем хоста. Только у одного он изменился. Скорее всего за сутки, раньше был такой же. Но изменился на цифры в первом октете (раньше был 111, теперь 222).

[svd71]

Из перечисленных здесь его нет.

[svd71]

Если бы было именно так, то такие бы запросы повторялись с разными запросами. За исключением из домена ru (3 раза с повторяющимся запросом с разницей через минимум 4 часа), все остальные это единичные записи.

До этого были попытки румын найти на сервере phpMyAdmin и другие незакрытые дырки.

[svd71]

Ubuntu.

А вы так и будете "уточнения" писать или религия не позволяет ответ создать?

Answer 1

[Сергей Соколов]

telnet www.ваш_сервер.ru 80
...
GET /index.php HTTP/1.1
Host: www.poddelka.ru
(два раза Enter)

Вот и подделали (upd.) HTTP_HOST. Переменная окружения SERVER_NAME задаётся веб сервером и в обычном случае не несёт любых значений из запроса пользователя. В вашем случае, если упомянутые в логах значения SERVER_NAME нигде не прописаны явно в конфигах веб серверов, значит, либо конфиг веб-сервера копирует их из запроса, либо дальнейший скрипт, пишущий логи, их путает или копирует.
Не исключено, что сервер уже взломан, и такие запросы и использование его в качестве прокси – уже последствия взлома.

Как и для чего использовать — много вариантов, покажите логи.

Comments

[svd71]

огласите весь список вариантов. а еще лучше скомментом, есть ли в чем либо опасность.

[Алексей]

Таким образом меняется HTTP_HOST. А SERVER_NAME устанавливается сервером, и не должно реагировать на запрос, иначе сервер настроен криво.

[Сергей Соколов]

@rdifb0 вы правы, я поспешил с ответом. Может, веб сервер или дальнейший скрипт сконфигурирован таким образом, что копирует HTTP_HOST в SERVER_NAME в данном случае?

[Сергей Соколов]

обновил ответ.

[svd71]

еще раз проверил скрипты, не ошибся ли я. Нет, не ошибся - именно ключ SERVER_NAME используется для сохраннения лога. HTTP_HOST неможет быть так скопирован. Иначе у других хостов так же был бы такой глюк. На зараженние или взлом мало похоже - иначе бы таких запросов было каждый день пачками по несколько штук. А по логам они смахивают на попытки. Пытался сам в браузере сконструировать такой запрос - сайт реагирует правильно: показывает начальную страницу, но в лог записывает правильные значения, без замены с HTTP_HOST. Остается подозрение на неправильную конфигурацию настроек апача.

[svd71]

Вы оказались правы: бабка пошептала ;-D