Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Подскажите что это в логе?, апачевский лог
Korzen
Дата 26.01.2008 - 21:06
Цитировать сообщение




Unregistered












165.138.95.78 - - [23/Jan/2008:09:19:36 +0300] "GET https://www.microsoft.com/ HTTP/1.0" 200 296
165.138.95.78 - - [23/Jan/2008:09:19:41 +0300] "CONNECT https://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 226
165.138.95.78 - - [23/Jan/2008:09:19:37 +0300] "POST https://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 200 296


Я так понимаю кто-то что-то пытался делать, вопрос что?
Я поставил Апач на Win XP, сделал страничку простенькую.
Вскоре с моей машины стало отправляться куча спама, нашел много троянов.
Не знаю связано ли это с установкой web-сервера?


Это сообщение отредактировал Korzen - 26.01.2008 - 21:17
Top
nameless
Дата 26.01.2008 - 21:13
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Обычный GET запрос. Тоесть делается CONNECT к твоему серверу, и дальше GET запрос такого содержания как ты написал. В принципе ничего страшного, возможно кто то просто ошибся, вписав твой айпишник у себя как проксю.


--------------------
Мы расправим крылья
PM
Top
Korzen
Дата 26.01.2008 - 21:22
Цитировать сообщение




Unregistered












Цитата (vxk7m @ 26.01.2008 - 21:13)
Обычный GET запрос. Тоесть делается CONNECT к твоему серверу, и дальше GET запрос такого содержания как ты написал. В принципе ничего страшного, возможно кто то просто ошибся, вписав твой айпишник у себя как проксю.

Дело в том, что мой веб-сервер существовал все несколько часов,
после этого появились эти строчки в логе, подозрительно по-моему.
Top
marshall
Дата 28.01.2008 - 00:14
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


На самом деле не понятно, почему в запросе фигурирует 25-й порт.
https://lti-mail01.ltinetworks.com:25
Как вариант, закрыть доступ от/к 25-му порту, кроме почтовика, через который вы отправляете почту с этой машины.
PMСайт пользователяICQ
Top
nameless
Дата 28.01.2008 - 13:25
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Цитата
На самом деле не понятно, почему в запросе фигурирует 25-й порт.


В бравзере в качестве проксика вписываем IP апача, в строке адреса вводим адрес типа ya.ru:25. Вот что у меня получилось
Код

mahost:/var/log/apache2# tail -5 access.log
127.0.0.1 - - [28/Jan/2008:12:30:15 +0200] "GET http://i.ua/apache2-default/ HTTP/1.1" 200 44 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.8 (like Gecko) (Debian)"
127.0.0.1 - - [28/Jan/2008:12:30:16 +0200] "GET http://i.ua/favicon.ico HTTP/1.1" 404 278 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.8 (like Gecko) (Debian)"
127.0.0.1 - - [28/Jan/2008:12:31:24 +0200] "GET http://ya.ru:25/ HTTP/1.1" 302 286 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.8 (like Gecko) (Debian)"
127.0.0.1 - - [28/Jan/2008:12:31:24 +0200] "GET http://ya.ru:25/apache2-default/ HTTP/1.1" 200 44 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.8 (like Gecko) (Debian)"
127.0.0.1 - - [28/Jan/2008:12:31:24 +0200] "GET http://ya.ru:25/favicon.ico HTTP/1.1" 404 279 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.8 (like Gecko) (Debian)"
mahost:/var/log/apache2#



Короче ничего страшного - кто то просто ошибся адресом =)


--------------------
Мы расправим крылья
PM
Top
J-MiB
Дата 29.01.2008 - 12:28
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 36
Пользователь №: 4443
Регистрация: 7.09.2006



Рейтинг:
(0%) -----


кто-то пытается юзать apache в качетсве прокси-сервера. проверь настройки, такая возможность должна быть отключена.

На счет троянов и спама не знаю, может апач дырявый или сборка протроянена.

Это сообщение отредактировал J-MiB - 29.01.2008 - 12:30


--------------------
Ты - мимолетное воспоминание, которое сразу забудется.
Ты не существуешь. Ты вобще не появлялся на свет.
Безымянность - твое имя. Молчание - твой родной язык.
Ты больше не чаcть общества. Ты выпадаешь из системы. Ты над ней, вне ее.
Узы порваны. Мы для всех "они". Мы - люди в черном.
PMПисьмо на e-mail пользователю
Top
rudy
Дата 23.03.2009 - 14:09
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 132
Пользователь №: 1395
Регистрация: 5.09.2005



Рейтинг:
(60%) XXX--


Была такая дыра в апаче, которая при включенном mod_proxy позволяла заюзать апача как smtp relay. Не знаю, заделали ее или нет, но лучше отключи mod_proxy.
Независимо от результата пытались это эксплойтить.

Это сообщение отредактировал rudy - 23.03.2009 - 14:11


--------------------
Best regards,
Igor A. Rudsky,
Prometheus Linux centre,
Vice director, Chief IT Officer
Rostov-on-Don, Russia
PM
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса