[FUG-BR] Apache CONNECT - segurança

Ricardo Katz listas em ricardo.katz.nom.br
Domingo Maio 17 19:57:45 BRT 2009


Olá:

Verifique se o seu mod_proxy não está permitindo acessos a ele como um
proxy mesmo, tipo Squid.

Se sim, ele pode estar sendo utilizado como proxy anonimo (como no
caso, por esse ip 204.248.7.11).

Abs

2009/5/17 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
> Pessoal,
>
> Me ajudem a entender isso que apareceu hoje no log do meu apache:
>
> [root em intranet:~] # tail -f /var/log/httpd-access.log
> 204.248.7.11 - - [17/May/2009:18:44:01 -0300] "GET
> http://peeoneer.freehostia.com/azenv.php HTTP/1.1" 404 207 "-"
> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT    5.1)"
> 204.248.7.11 - - [17/May/2009:18:44:01 -0300] "CONNECT
> www.google.com:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:44:02 -0300] "CONNECT
> www.google.com:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:44:44 -0300] "CONNECT
> 205.188.251.21:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:46:30 -0300] "CONNECT
> 205.188.251.26:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:48:02 -0300] "CONNECT 64.12.161.185:443
> HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:49:44 -0300] "CONNECT
> 205.188.251.31:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:51:08 -0300] "CONNECT
> 205.188.251.36:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:52:34 -0300] "CONNECT
> 205.188.251.43:443 HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:54:04 -0300] "CONNECT 64.12.161.153:443
> HTTP/1.0" 200 1217 "-" "-"
> 204.248.7.11 - - [17/May/2009:18:55:36 -0300] "CONNECT 205.188.251.1:443
> HTTP/1.0" 200 1217 "-" "-"
>
> Status 200 pelo que lembro é OK...
>
> FreeBSD 7.0 RELEASE
> Apache-2.0.63_2 (uso Mod_proxy para acesso interno a alguns server IIS e
> JBOSS).
>
> Será que tem alguma falha sendo explorada nesse método CONNECT do apache?
> Nas configurações do mod_proxy é tudo bem restrito, especifico o ip,
> porta, etc... desativo a opção de PROXY, etc...
> Como posso simular via telnet se esse método CONNECT está sendo liberado
> para outros sites?
>
> Abraços,
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>                      Powered by ....
>
>                                           (__)
>                                        \\\'',)
>                                          \/  \ ^
>                                          .\._/_)
>
>                                      www.FreeBSD.org
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd