[FUG-BR] IP estranho tentando fazer CONNECT no meu apache!

[Welkson Renny de Medeiros]

Boa tarde Antônio,


Dei uma olhada no httpd-error.log, não tem erro referente a este domínio.

Que tipo de configurações posso está vendo no httpd.conf?

Info sobre o apache:

[root em intranet /var/log]# httpd -v
Server version: Apache/2.0.63

Abraço,

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br




 Sun, 25 May 2008 11:32:41 -0300, "Antonio Torres" <antonio.torres em vsat.com.br> escreveu:

> "Esse cara"  só esta tentando usar o seu apache como proxy, tentando enviar
> spam.
> 
> verifique tambem nos logs de erro; se o seu apache estiver corretamente
> configurado (não permitindo proxy) vai ter uma mensagem de erro para cada
> tentativa.
> 
> []s
> 
> Antonio Torres
> 
> 
> 
> On 5/25/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote:
> >
> > Bom dia amigos!
> >
> >
> > Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs do
> > apache, e vi essas linhas que me deixou curioso:
> >
> > [root em intranet /var/log]# cat httpd-access.log | grep mail3.xps.idv
> > 118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT
> > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > 118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT
> > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > 118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT
> > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > 118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT
> > mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-"
> >
> > Pelo que entendo, quem faz CONNECT é servidor proxy para acessar portas
> > consideradas seguras (safe-ports)... o que pode ser isso?
> >
> > Pela lógica entendo que algum BOT tentou acessar meu servidor apache
> > pensando que era um SQUID (se colar colou) e tentou acessar um servidor smtp
> > em algum lugar na internet... verifiquei esse endereço acima e realmente é
> > um serviço de email (certamente para enviar SPAM)...
> >
> > Tentei simular o ocorrido, de casa configurei o proxy do meu firefox para o
> > ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e surgiu o
> > conteúdo do meu servidor apache (normal)... tentei acessar uma porta segura
> > (https), não deu certo... o que me faz pensar que o ataque que os caras
> > tentaram acima não foi concluído com êxito.
> >
> > No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as interfaces,
> > mas o proxy somente em rede local (dansguardian ouve em loopback, squid para
> > interface local)... mesmo assim para ter certeza, tentei acessar a porta
> > 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80).
> >
> > Resumindo: esse cara achou que era um SQUID ou realmente é alguma falha que
> > pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente para
> > fazer meus sub-domínios serem redirecionados para outros servidores: IIS por
> > exemplo).
> >
> > Bom fim de semana.
> >
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
>