С тех пор, как я переустановил Ubuntu v20.04 и Apache вчера, я получал обращения к серверу каждые 2 минуты:
107-206-125-44.lightspeed.cicril.sbcglobal.net - - [28/May/2020:18:18:37 +0100] "POST / HTTP/1.1" 200 15662
107-206-125-44.lightspeed.cicril.sbcglobal.net - - [28/May/2020:18:20:37 +0100] "POST / HTTP/1.1" 200 15662
107-206-125-44.lightspeed.cicril.sbcglobal.net - - [28/May/2020:18:22:37 +0100] "POST / HTTP/1.1" 200 15662
107-206-125-44.lightspeed.cicril.sbcglobal.net - - [28/May/2020:18:24:38 +0100] "POST / HTTP/1.1" 200 15662
Ответное сообщение вызывает предупреждение в ModSecurity:
[Thu May 28 18:24:38.363479 2020] [:error] [pid 6425:tid 139833030502144] [client 107.206.125.44:51746] [client 107.206.125.44] ModSecurity: Warning. Pattern match "^[\\\\d.:]+$" at REQUEST_HEADERS:Host. [file "/etc/modsecurity/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf"] [line "741"] [id "920350"] [msg "Host header is a numeric IP address"] [data "86.27.230.68"] [severity "WARNING"] [ver "OWASP_CRS/3.2.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-protocol"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "86.27.230.68"] [uri "/"] [unique_id "Xs-z1ojGSfbOE0S1ytgtJQAAAAM"]
Я думаю , что я вижу это предупреждение только потому, что сервер отвечает напрямую с IP-адреса, а не с имени хоста?
Я просмотрел и прочитал некоторые вещи о Контрабанде запросов - но я не вижу никаких вторичных запросов после первого, а первый POST все равно направлен на веб-сайт root.
Я захватил один из них с помощью Wireshark , но я не вникаю:
Скриншот захваченного пакета Wireshark
Это какая-то атака, и если да, то что мне делать это?
Заранее большое спасибо