spam - a jak se ho zbavit ?

Čtvrtek Únor 27 13:53:02 CET 2003

On Thu, Feb 27, 2003 at 09:46:04AM +0100, Petr Hruz�k wrote:
> Dobry den,
> muzete mi prosim poradit jak se zbavit tohoto ?
> 
> V logu apache je toto:
> 
> 4.46.102.40 - - [27/Feb/2003:09:29:07 +0100] "CONNECT 64.12.138.152:25
> HTTP/1.0" 200 1729 "-" "-"
> 4.46.102.40 - - [27/Feb/2003:09:32:08 +0100] "CONNECT 64.12.136.57:25
> HTTP/1.0" 200 1729 "-" "-"
> 4.46.102.40 - - [27/Feb/2003:09:33:20 +0100] "CONNECT 64.12.138.57:25
> HTTP/1.0" 200 1729 "-" "-"
> 
> Mam v tom asi zmatky, ale zakazal jsem v ipchains port 25, protoze ho na te
> masine nepotrebuju, ale jak je z logu videt nepomohlo.
> 
> Da se nejak v apachi zakazat CONNECT - prochazel jsem manual, ale na nic
> jsem nenarazil.
> Pouziva APAQCHE TCP Wrappers - host.allow, host.deny ?
> 
> Jak je to provedeno? - pomoci nejakeho scriptu na jinem serveru?

Nekdo zkousel, jestli na portu 80 nemate blbe nakonfigurovanou proxy,
ktera by pomoci prikazu CONNECT umoznila pruchozi spojeni na cizi stroj.
V tomto pripade by to pak znamenalo, ze pres Vas stroj by bylo spojeni
vedene na port 25 stroje s IP 64.12.138.57, tj. zrejme by se te masine
predal spam. Finta je v tom, ze v logu 64.12.138.57 bude figurovat Vase
IP a ne IP toho, kdo spojeni zacal (tj. 4.46.102.40).

Normalni proxy totiz kvuli pristupu na HTTPS stranky zprostredkuje
internim stanicim v siti prime a neovlivnene spojeni s prislusnym HTTP
serverem (pro HTTPS je to port 443).

Squid to umi taky, akorad ma vyjmenovane porty, na ktere to dovoli
(treba jen ten standardni, tj. 443, takze neni pak mozne udelat spojeni
na https://www.nekde.cz:3456).

Zmineny spammer tedy simuloval klienta, ktery chce zprostredkovat HTTPS
se strojem 64.12.138.57 na port 25 (a skryt tak sve spammerske choutky).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/