httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Germer, Carsten" <carsten.ger...@desy.de>
Subject RE: Anonymer Proxy auf dem Server? | logs analyse
Date Tue, 01 Nov 2005 09:15:10 GMT
Ja! Dein Apache fungiert als Proxy und ist dafür offen wie ein Scheunentor :D
Empfehlung: Erstmal fix stoppen das Ding.

Ich hab grad mal 194.95.77.26 als Proxy in meinem FF eingetragen und, voila, die Web-Welt
steht mir offen.
Wofür benutzen die bösen Salzcracker das? Wenn man über so einen Proxy Exploits von bekannten
Web-Programmen, Bulletinboards etc. ausnutzt kann der Angriff nicht (so leicht) zurückverfolgt
werden. Zum Phishing kann das auch benutzt werden, da steck ich nicht so in den Details...

Erste Abhilfe nachm stoppen kanns Du schaffen in dem Du das Proxy_Modul in der httpd.conf
einfach nicht lädst. Danach kannst Du die Konfiguration des mod_proxy durchschauen und sauber
schreiben, die ganzen Informationen findest Du unter http://httpd.apache.org/. Da steht auch
was zur Sicherheit beim Einrichten von mod_proxy. Musst halt nur unter deiner Apache Version
in der Doku gucken.

Lieben Gruß und viel Spass beim Doku wälzen (ist eigentlich garnicht so viel) /Carsten

>-----Original Message-----
>From: Vlad Vorobiev [mailto:listen@gogaru.com] 
>Sent: Monday, October 31, 2005 5:29 PM
>To: users-de@httpd.apache.org
>Subject: Anonymer Proxy auf dem Server? | logs analyse
>
>
>Hallo,
>
>Neulich kamme zu mir eine Mails, wo stand das mein Server als offener 
>Proxy verwendet wird und ob das gewollt ist.
>
>ich wundere woher die ganzen
>
>218.3.13.7 - - [23/Oct/2005:03:26:08 +0200] "GET 
>http://adfarm.mediaplex.com/ad/
>ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn 
>HTTP/1.0"
>404 11287 
>"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site
>;hp&mpro=http://www.ebay.com.cn" "Mozilla/4.0 (compatible; MSIE 6.0; 
>Windows 200
>0; DigExt; TUCOWS Network)"
>220.88.1.74 - - [23/Oct/2005:03:26:10 +0200] "GET 
>http://www.yahoo.com:80/ HTTP/
>1.1" 200 27366 "-" "Mozilla/3.0 (compatible; Indy Library)"
>218.3.13.7 - - [23/Oct/2005:03:26:11 +0200] "GET 
>http://adfarm.mediaplex.com/ad/
>ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn 
>HTTP/1.0"
>404 11287 
>"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site
>;hp&mpro=http://www.ebay.com.cn" "Mozilla/4.0 (compatible; MSIE 5.0; 
>Windows 98)
>"
>218.3.13.7 - - [23/Oct/2005:03:26:12 +0200] "GET 
>http://adfarm.mediaplex.com/ad/
>ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn 
>HTTP/1.0"
>404 11287 
>"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site
>;hp&mpro=http://www.ebay.com.cn" "Mozilla/4.0 (compatible; MSIE 5.0; 
>Windows 98)
>"
>
>komischen anfragen auf den Server kommen. Teilweise kommen die 
>von Yahoo 
>mit passwort übergabe ect. Hier werden die alle mit 404 quitiert.
>Doch in anderen fällen habe ich sowas:
>
>64.40.100.10 - - [16/Oct/2005:03:31:20 +0200] "GET 
>http://www.brisnet.com/cgi-bi
>n/totedb/pools.cgi?track=RET&type=0 HTTP/1.1" 200 - "-" "Mozilla/5.0 
>(X11; U; Li
>nux i686; en-US; rv:1.7.2) Gecko/20040804"
>24.81.131.78 - - [16/Oct/2005:03:31:22 +0200] "GET 
>http://edit.in.yahoo.com/conf
>ig/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=&
>.intl=us&.bypass=
>&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.
>shtml&login=this_
>lady_may_be_to_good_4u&passwd=terry HTTP/1.0" 200 - "-" "-"
>24.81.131.78 - - [16/Oct/2005:03:31:24 +0200] "GET 
>http://edit.in.yahoo.com/conf
>ig/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=&
>.intl=us&.bypass=
>&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.
>shtml&login=never
>lose_99&passwd=easter HTTP/1.0" 200 - "-" "-"
>
>200 heist doch ok??? Also da hat wirklich jemand ohne mein wissen ein 
>Proxy aus meinem Server gemacht??? Ich komme allerdings so 
>nicht  drauf.
>
>Kann mir jemand die einträge erläutern? Ich habe ziemlich wenig 
>erfahrung mit Apache.
>
>Schaft es jemand den Server als Proxy zu verwenden? Die IP ist 
>194.95.77.26. Der Server ist allerdings schon lange nicht mehr im 
>Produktiv einsatz. Steht nur so da, als Backup.
>
>Also ich bitte um Hilfe. Kann ich jetzt noch ruhig schlafen, 
>oder sollte 
>ich schnell einen "halt" machen?
>
>Grüsse
>Vlad
>
>---------------------------------------------------------------
>-----------
>                Apache HTTP Server Mailing List "users-de" 
>      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>           sonstige Anfragen an users-de-help@httpd.apache.org
>---------------------------------------------------------------
>-----------
>
>

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message