[FUG-BR] IP estranho tentando fazer CONNECT no meu apache!

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Domingo Maio 25 17:12:53 BRT 2008 

Dei uma procurada legal... o problema é sério... de acordo com alguns materiais que li esse status 200 significa que o cara conseguiu fazer a conexão...

Na internet tem várias pessoas reclamando dessa situação:

http://www.webmasterworld.com/forum92/5421.htm

http://mail-archives.apache.org/mod_mbox/httpd-wiki-changes/200706.mbox/%3C20070620203208.19454.84616@eos.apache.org%3E

http://marc.info/?l=apache-modules&m=106209499915047&w=2

http://www.fedoraforum.org/forum/archive/index.php/t-91619.html

http://linux.derkeiler.com/Mailing-Lists/Fedora/2006-06/msg04401.html

Já comecei a alterar algumas coisas no httpd.conf, por exemplo:

Estava assim:
NameVirtualHost *

Alterei para:
NameVirtualHost *:80

E alterei em todos os VirtualHosts, incluindo a porta 80:

Exemplo de um virtual host com mod_proxy:
<VirtualHost *:80>
   ProxyRequests off
   ServerName webservice.meusite.com.br
   <Proxy *>
   Order deny,allow
   Allow from all
   </Proxy>
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
<Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>

###

Dei uma olhada no portaudit -Fda, tá tudo atualizadinho.... esse servidor faz 5 dias que instalei... (FreeBSD 7 RELEASE).

Me ajudem, estou virando SPAMMER :-)


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br




 Sun, 25 May 2008 16:36:20 -0300, "Welkson Renny de Medeiros"	<welkson em focusautomacao.com.br> escreveu:

> Boa tarde Antônio,
> 
> 
> Dei uma olhada no httpd-error.log, não tem erro referente a este domínio.
> 
> Que tipo de configurações posso está vendo no httpd.conf?
> 
> Info sobre o apache:
> 
> [root em intranet /var/log]# httpd -v
> Server version: Apache/2.0.63
> 
> Abraço,
> 
> -- 
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
> 
> 
> 
> 
>  Sun, 25 May 2008 11:32:41 -0300, "Antonio Torres" <antonio.torres em vsat.com.br> escreveu:
> 
> > "Esse cara"  só esta tentando usar o seu apache como proxy, tentando enviar
> > spam.
> > 
> > verifique tambem nos logs de erro; se o seu apache estiver corretamente
> > configurado (não permitindo proxy) vai ter uma mensagem de erro para cada
> > tentativa.
> > 
> > []s
> > 
> > Antonio Torres
> > 
> > 
> > 
> > On 5/25/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote:
> > >
> > > Bom dia amigos!
> > >
> > >
> > > Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs do
> > > apache, e vi essas linhas que me deixou curioso:
> > >
> > > [root em intranet /var/log]# cat httpd-access.log | grep mail3.xps.idv
> > > 118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-"
> > >
> > > Pelo que entendo, quem faz CONNECT é servidor proxy para acessar portas
> > > consideradas seguras (safe-ports)... o que pode ser isso?
> > >
> > > Pela lógica entendo que algum BOT tentou acessar meu servidor apache
> > > pensando que era um SQUID (se colar colou) e tentou acessar um servidor smtp
> > > em algum lugar na internet... verifiquei esse endereço acima e realmente é
> > > um serviço de email (certamente para enviar SPAM)...
> > >
> > > Tentei simular o ocorrido, de casa configurei o proxy do meu firefox para o
> > > ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e surgiu o
> > > conteúdo do meu servidor apache (normal)... tentei acessar uma porta segura
> > > (https), não deu certo... o que me faz pensar que o ataque que os caras
> > > tentaram acima não foi concluído com êxito.
> > >
> > > No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as interfaces,
> > > mas o proxy somente em rede local (dansguardian ouve em loopback, squid para
> > > interface local)... mesmo assim para ter certeza, tentei acessar a porta
> > > 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80).
> > >
> > > Resumindo: esse cara achou que era um SQUID ou realmente é alguma falha que
> > > pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente para
> > > fazer meus sub-domínios serem redirecionados para outros servidores: IIS por
> > > exemplo).
> > >
> > > Bom fim de semana.
> > >
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson em focusautomacao.com.br
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > 
> > 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
>

Mais detalhes sobre a lista de discussão freebsd