[FUG-BR] IP estranho tentando fazer CONNECT no meu apache!

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Maio 27 15:01:12 BRT 2008 

Pessoal,

Só para constar no histórico da lista... realmente o mod_proxy estava "open
relay"...

A solução foi ser mais restritivo em questão as portas, e domínio, ficou
assim:

<VirtualHost *:80>
   ProxyRequests off
   ServerName webservice.meusite.com.br
   <Proxy http://192.168.0.10/webservice:80>              # no lugar do
<Proxy *>
   Order allow,deny
   Allow from all
# não posso usar deny já que esse serviço é permitido para qualquer ip,
tanto interno quanto externo
   </Proxy>
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
<Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>

Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do
Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para
ver...

Abraço,

Welkson Renny

----- Original Message ----- 
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Sunday, May 25, 2008 5:12 PM
Subject: Re: [FUG-BR] IP estranho tentando fazer CONNECT no meu apache!


Dei uma procurada legal... o problema é sério... de acordo com alguns 
materiais que li esse status 200 significa que o cara conseguiu fazer a 
conexão...

Na internet tem várias pessoas reclamando dessa situação:

http://www.webmasterworld.com/forum92/5421.htm

http://mail-archives.apache.org/mod_mbox/httpd-wiki-changes/200706.mbox/%3C20070620203208.19454.84616@eos.apache.org%3E

http://marc.info/?l=apache-modules&m=106209499915047&w=2

http://www.fedoraforum.org/forum/archive/index.php/t-91619.html

http://linux.derkeiler.com/Mailing-Lists/Fedora/2006-06/msg04401.html

Já comecei a alterar algumas coisas no httpd.conf, por exemplo:

Estava assim:
NameVirtualHost *

Alterei para:
NameVirtualHost *:80

E alterei em todos os VirtualHosts, incluindo a porta 80:

Exemplo de um virtual host com mod_proxy:
<VirtualHost *:80>
   ProxyRequests off
   ServerName webservice.meusite.com.br
   <Proxy *>
   Order deny,allow
   Allow from all
   </Proxy>
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
<Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>

###

Dei uma olhada no portaudit -Fda, tá tudo atualizadinho.... esse servidor 
faz 5 dias que instalei... (FreeBSD 7 RELEASE).

Me ajudem, estou virando SPAMMER :-)


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br




 Sun, 25 May 2008 16:36:20 -0300, "Welkson Renny de Medeiros" 
<welkson em focusautomacao.com.br> escreveu:

> Boa tarde Antônio,
>
>
> Dei uma olhada no httpd-error.log, não tem erro referente a este domínio.
>
> Que tipo de configurações posso está vendo no httpd.conf?
>
> Info sobre o apache:
>
> [root em intranet /var/log]# httpd -v
> Server version: Apache/2.0.63
>
> Abraço,
>
> -- 
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>
>  Sun, 25 May 2008 11:32:41 -0300, "Antonio Torres" 
> <antonio.torres em vsat.com.br> escreveu:
>
> > "Esse cara"  só esta tentando usar o seu apache como proxy, tentando 
> > enviar
> > spam.
> >
> > verifique tambem nos logs de erro; se o seu apache estiver corretamente
> > configurado (não permitindo proxy) vai ter uma mensagem de erro para 
> > cada
> > tentativa.
> >
> > []s
> >
> > Antonio Torres
> >
> >
> >
> > On 5/25/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> 
> > wrote:
> > >
> > > Bom dia amigos!
> > >
> > >
> > > Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs 
> > > do
> > > apache, e vi essas linhas que me deixou curioso:
> > >
> > > [root em intranet /var/log]# cat httpd-access.log | grep mail3.xps.idv
> > > 118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-"
> > > 118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT
> > > mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-"
> > >
> > > Pelo que entendo, quem faz CONNECT é servidor proxy para acessar 
> > > portas
> > > consideradas seguras (safe-ports)... o que pode ser isso?
> > >
> > > Pela lógica entendo que algum BOT tentou acessar meu servidor apache
> > > pensando que era um SQUID (se colar colou) e tentou acessar um 
> > > servidor smtp
> > > em algum lugar na internet... verifiquei esse endereço acima e 
> > > realmente é
> > > um serviço de email (certamente para enviar SPAM)...
> > >
> > > Tentei simular o ocorrido, de casa configurei o proxy do meu firefox 
> > > para o
> > > ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e 
> > > surgiu o
> > > conteúdo do meu servidor apache (normal)... tentei acessar uma porta 
> > > segura
> > > (https), não deu certo... o que me faz pensar que o ataque que os 
> > > caras
> > > tentaram acima não foi concluído com êxito.
> > >
> > > No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as 
> > > interfaces,
> > > mas o proxy somente em rede local (dansguardian ouve em loopback, 
> > > squid para
> > > interface local)... mesmo assim para ter certeza, tentei acessar a 
> > > porta
> > > 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80).
> > >
> > > Resumindo: esse cara achou que era um SQUID ou realmente é alguma 
> > > falha que
> > > pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente 
> > > para
> > > fazer meus sub-domínios serem redirecionados para outros servidores: 
> > > IIS por
> > > exemplo).
> > >
> > > Bom fim de semana.
> > >
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson em focusautomacao.com.br
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd