[FUG-BR] IP estranho tentando fazer CONNECT no meu apache!
Antonio Torres
antonio.torres em vsat.com.br
Domingo Maio 25 11:32:41 BRT 2008
"Esse cara" só esta tentando usar o seu apache como proxy, tentando enviar
spam.
verifique tambem nos logs de erro; se o seu apache estiver corretamente
configurado (não permitindo proxy) vai ter uma mensagem de erro para cada
tentativa.
[]s
Antonio Torres
On 5/25/08, Welkson Renny de Medeiros <welkson at focusautomacao.com.br> wrote:
>
> Bom dia amigos!
>
>
> Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs do
> apache, e vi essas linhas que me deixou curioso:
>
> [root at intranet /var/log]# cat httpd-access.log | grep mail3.xps.idv
> 118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT
> mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> 118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT
> mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> 118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT
> mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> 118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT
> mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-"
>
> Pelo que entendo, quem faz CONNECT é servidor proxy para acessar portas
> consideradas seguras (safe-ports)... o que pode ser isso?
>
> Pela lógica entendo que algum BOT tentou acessar meu servidor apache
> pensando que era um SQUID (se colar colou) e tentou acessar um servidor smtp
> em algum lugar na internet... verifiquei esse endereço acima e realmente é
> um serviço de email (certamente para enviar SPAM)...
>
> Tentei simular o ocorrido, de casa configurei o proxy do meu firefox para o
> ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e surgiu o
> conteúdo do meu servidor apache (normal)... tentei acessar uma porta segura
> (https), não deu certo... o que me faz pensar que o ataque que os caras
> tentaram acima não foi concluído com êxito.
>
> No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as interfaces,
> mas o proxy somente em rede local (dansguardian ouve em loopback, squid para
> interface local)... mesmo assim para ter certeza, tentei acessar a porta
> 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80).
>
> Resumindo: esse cara achou que era um SQUID ou realmente é alguma falha que
> pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente para
> fazer meus sub-domínios serem redirecionados para outros servidores: IIS por
> exemplo).
>
> Bom fim de semana.
>
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd