Запросы HTTP CONNECT к Apache - что это и как бороться?

Что значит «концовка»? Начало же. Конец - это новые записи. Тебе флудили запросами что ли? Сколько их там, за какие сроки? Зачем ты постоянно недоговариваешь?

апач такой OPTIONS делает как раз при ребуте вроде как

Вот хз, честно говоря. Сейчас посмотрел на голой инсталляции - не делает. Может, какой-то модуль, которого у меня нет.

Если у ТСа время рестарта совпадает с этим запросом, тогда любопытно.

А вот не понятно нихрена. Я перезапускал несколько раз, меняя конфиг. И после раза третьего только, оно отвалилось. Но сейчас я вернул конфиг как было, и все равно 405.

Да, начало тогда. Сколько их - я не знаю, я же не буду их считать. Примерно 10 в секунду в течение всего дня.

Именно в тот момент, не было рестарта. И логина в систему никакого не видно.

Ну хз, если логи засраны, то я в растерянности. Если журнал systemd хранится, то можешь посмотреть на journalctl -u apache2, вдруг там будет неожиданное время перезапуска, типа «…но ведь в этот день я не ничего не рестартил!»

И посмотреть на предмет раскомменченных директив с Proxy в конфигах, grep -r Proxy /etc/apache2. Но это такое. Может, тебе вообще бинарник подменяли, и конфиги грузили из другого места (не верю, но вдруг).

Почему не с первого перезапуска тогда отвалилось, вообще не понятно.

А ты сервер целиком ребутил? Если нет, посмотри, не висят ли какие-либо лишние процессы от того же юзера, под которым работает апач.

Щас не об этом, это мы вряд ли сообразим. Просто если предположить, что тебе подменяли апача заодно с конфигами, то в логе системды ты увидишь остановку юнита без последующего немедленного запуска. А с временным промежутком между Stopped и Starting.

А резве нельзя, скажем дописать нужное в перемнную APACHE_ARGUMENTS а после чего дернуть apache2ctl graceful? При условии, что у хакера уже есть шелл пользователя httpd который он получил из дырявого скрипта, например.
При этом родительский процесс apache2 не умирает, а просто завершает дочерние процессы и перезагружает конфиг. Потому рестарта юнита systemd мы не увидим.

У тебя лог всего за 1 день хранится что ли?

Да все это фигня, конечно. Из разряда «ну надо же хоть что-то делать».

За 14 дней. Весь 14-й день валило 400, 13-й день полдня валило 400, потом стало 200 с другим именем хоста. И так до нынешнего момента.

400 это очевидно bad request из-за очепятки у них.
А вот 405 это как раз method not allowed, как и должно быть.

Ну любой браузер может. Но судя по user agent это какой-то софт на Java.

Да, это я уже понял. Не могу понять только, почему внезапно вместо 200 стало 405. Точнее, это точно стало после перезапуска apache с измененным конфигом, в котором я запретил CONNECT через mod_rewrite. Но сейчас я откатил конфиг назад как было, и все равно дается 405. И нейросеть говорила, что после такого изменения конфига должно пойти 403, а не 405. Поэтому, подозреваю что с самим конфигом это не связано.

Тут я не уверен, возможно, делать rewrite в методах CONNECT имеет смысл только если у тебя сервер поддерживает CONNECT. А если mod_proxy не загружен, то и рерайтить нечего, я это так вижу.

Попробуй пойти обратным путем: воспроизведи проблему, загрузив модуль mod_proxy

Не могу понять только, почему внезапно вместо 200 стало 405. Точнее, это точно стало после перезапуска apache с измененным конфигом, в котором я запретил CONNECT через mod_rewrite.

чтобы такого избежать, сделайте

cd /etc/apache2
git init
git add -A
....
git commit/git stash

Да, надо было сразу так сделать, не догадался блин.

запретил CONNECT через mod_rewrite

Кстати, все советы об использовании mod_rewrite следует игнорировать насколько это возможно. В твоем случае - игнорировать обязательно.

Нууу а вообще надо остановиться, закурить и подождать-посмотреть. Можешь подцепить скрипт, чтобы периодически долбился в твои сайты тем же самым, кстати, запросом OPTIONS, раз уж он у тебя не запрещен. И когда в ответе ему прилетит CONNECT - орал бы НАС ИМЕЮТ.

curl -v -X OPTIONS https://my.every.site

Или прям сразу CONNECT’ом и долбиться. Получил 200 = добрый вечер.

Впрочем, это тоже ненадежная херня.

Пока забанил ip долбящихся, они стали получать 403 на все запросы, посмотрю что будет

Зачем забанил? Убери бан. Пусть получают 405.

Вполне возможно что проксю тебе включили другие злоумышленники ещё раньше когда-то а эти просто её нашли.

И увеличь хранение логов хотя бы до 3 месяцев, а лучше до года. 14 дней это ерунда какая-то.

Вот хотелось бы понять, как ее можно включить таким образом, чтобы были наблюдаемые явления.