spam - a jak se ho zbavit ?

Petr Hruzík pepe na sots.cz
Čtvrtek Únor 27 14:57:20 CET 2003


Dik za odpoved,

v apachi mam povoleny jen porty 80 a 443, tak proc se to takhle chova?
Nerek bych, ze se nekdo snazi, ale ze se to povedlo, protoze tam je v logu
"200"  - coz neni zamitnuti pozadavku.

Neda se zakazat metoda CONNECT?



Petr H.

"Milan Kerslager" <milan.kerslager na pslib.cz> píše v diskusním příspěvku
news:20030227125302.GA14184 na pluto.pslib.cz...
> On Thu, Feb 27, 2003 at 09:46:04AM +0100, Petr Hruz?k wrote:
> > Dobry den,
> > muzete mi prosim poradit jak se zbavit tohoto ?
> >
> > V logu apache je toto:
> >
> > 4.46.102.40 - - [27/Feb/2003:09:29:07 +0100] "CONNECT 64.12.138.152:25
> > HTTP/1.0" 200 1729 "-" "-"
> > 4.46.102.40 - - [27/Feb/2003:09:32:08 +0100] "CONNECT 64.12.136.57:25
> > HTTP/1.0" 200 1729 "-" "-"
> > 4.46.102.40 - - [27/Feb/2003:09:33:20 +0100] "CONNECT 64.12.138.57:25
> > HTTP/1.0" 200 1729 "-" "-"
> >
> > Mam v tom asi zmatky, ale zakazal jsem v ipchains port 25, protoze ho na
te
> > masine nepotrebuju, ale jak je z logu videt nepomohlo.
> >
> > Da se nejak v apachi zakazat CONNECT - prochazel jsem manual, ale na nic
> > jsem nenarazil.
> > Pouziva APAQCHE TCP Wrappers - host.allow, host.deny ?
> >
> > Jak je to provedeno? - pomoci nejakeho scriptu na jinem serveru?
>
> Nekdo zkousel, jestli na portu 80 nemate blbe nakonfigurovanou proxy,
> ktera by pomoci prikazu CONNECT umoznila pruchozi spojeni na cizi stroj.
> V tomto pripade by to pak znamenalo, ze pres Vas stroj by bylo spojeni
> vedene na port 25 stroje s IP 64.12.138.57, tj. zrejme by se te masine
> predal spam. Finta je v tom, ze v logu 64.12.138.57 bude figurovat Vase
> IP a ne IP toho, kdo spojeni zacal (tj. 4.46.102.40).
>
> Normalni proxy totiz kvuli pristupu na HTTPS stranky zprostredkuje
> internim stanicim v siti prime a neovlivnene spojeni s prislusnym HTTP
> serverem (pro HTTPS je to port 443).
>
> Squid to umi taky, akorad ma vyjmenovane porty, na ktere to dovoli
> (treba jen ten standardni, tj. 443, takze neni pak mozne udelat spojeni
> na https://www.nekde.cz:3456).
>
> Zmineny spammer tedy simuloval klienta, ktery chce zprostredkovat HTTPS
> se strojem 64.12.138.57 na port 25 (a skryt tak sve spammerske choutky).
>
> --
>                         Milan Kerslager
>                         E-mail: milan.kerslager na pslib.cz
>                         WWW:    http://www.pslib.cz/~kerslage/
>
> --------------------------------------------------------------------------
-
> Meta-FAQ (odhlen , archv, FAQ a dal ): http://www.linux.cz/mailing-list
> TIP: Konference o PDA a Linuxu:
http://penguin.cz/cgi-bin/mailman/listinfo/pda-l
>




Další informace o konferenci Linux