mod_pagespeed緩存文件夾中的奇怪域

Question

大約一年前，我已經在我的VPS服務器上安裝了mod_pagespeed，並對其進行設置並使其保持運行。最近我正在瀏覽服務器上的文件，進入pagespeed緩存文件夾並發現了一些奇怪的文件夾。

對於IP地址，所有文件夾通常以這種方式命名爲,2Fwww.mydomain.com或,2F111.111.111.111。我很驚訝地看到某些領域不屬於我，像：

24x7-allrequestsallowed.com 
allrequestsallowed.com 
m.odnoklassniki.ru 
www.fbi.gov 
www.securitylab.ru 

它看起來像狡猾的東西是怎麼回事，是我的服務器受到影響，沒有任何合理的解釋？

Answer 1

這看起來很奇特。緩存文件夾中的所有內容都應該是mod_pagespeed試圖重寫的文件。有兩種方式我知道這可能發生：

1）您引用了一些第三方資源（例如來自其他域的圖像或谷歌分析腳本），並且您已明確啓用對該域的重寫，其中包括ModPagespeedDomain www.example.com或ModPagespeedDomain *。

2）如果您的服務器接受帶有無效主機頭的HTTP請求。嘗試（例如）wget --header="Host: www.fbi.gov" www.yourdomain.com/foo/bar.html。如果你的服務器接受這樣的請求，它可能會提供一個不正確的基本域的mod_pagespeed，然後subresources會從同一個域中獲取（所以如果www.yourdomain.com/foo/bar.html引用some.jpeg，並且你的服務器接受無效主機標題，我們可以獲取www.fbi.gov/foo/some.jpeg作爲資源）。最近有一個安全發佈版確保所有這些子請求都是針對本地主機（而不是任意的第三方網站）完成的。請參閱：https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001

您可能想查看這些文件夾，看看那裏有哪些特定的資源。我認爲最應該關注的是有人可能會試圖對用戶執行XSS攻擊，或者可能是針對另一個網站（如www.fbi.gov）的DDoS攻擊，將您的服務器作爲一個向量。我認爲這些文件夾並不代表您的服務器本身已被盜用。

如果您想討論更多，https://groups.google.com/forum/?fromgroups#!forum/mod-pagespeed-discuss是一個很好的名單加入和電子郵件。