[FUG-BR] IP estranho tentando fazer CONNECT no meu apache!
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Domingo Maio 25 11:23:58 BRT 2008
Bom dia amigos!
Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs do apache, e vi essas linhas que me deixou curioso:
[root em intranet /var/log]# cat httpd-access.log | grep mail3.xps.idv
118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-"
Pelo que entendo, quem faz CONNECT é servidor proxy para acessar portas consideradas seguras (safe-ports)... o que pode ser isso?
Pela lógica entendo que algum BOT tentou acessar meu servidor apache pensando que era um SQUID (se colar colou) e tentou acessar um servidor smtp em algum lugar na internet... verifiquei esse endereço acima e realmente é um serviço de email (certamente para enviar SPAM)...
Tentei simular o ocorrido, de casa configurei o proxy do meu firefox para o ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e surgiu o conteúdo do meu servidor apache (normal)... tentei acessar uma porta segura (https), não deu certo... o que me faz pensar que o ataque que os caras tentaram acima não foi concluído com êxito.
No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as interfaces, mas o proxy somente em rede local (dansguardian ouve em loopback, squid para interface local)... mesmo assim para ter certeza, tentei acessar a porta 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80).
Resumindo: esse cara achou que era um SQUID ou realmente é alguma falha que pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente para fazer meus sub-domínios serem redirecionados para outros servidores: IIS por exemplo).
Bom fim de semana.
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Mais detalhes sobre a lista de discussão freebsd