spam pres apache ?

Čtvrtek Březen 23 08:37:43 CET 2006

On Wed, 22 Mar 2006 pepox na tiscali.cz wrote:

> Hezky vecer.
> 
> Objevuji se mi v logu apache serveru tyto hlasky:
> 
> 62.166.160.141 - - [22/Mar/2006:14:35:05 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 403 5044 "-" "-"
> 62.166.160.141 - - [22/Mar/2006:14:35:05 +0100] "PUT http://205.231.29.241:25/ HTTP/1.0" 200 160 "-" "-"
> 62.166.160.141 - - [22/Mar/2006:14:35:05 +0100] "POST http://205.231.29.241:25/ HTTP/1.0" 200 160 "-" "-"
> 62.166.160.141 - - [22/Mar/2006:14:35:09 +0100] "205.231.29.241:25" 200 160 "-" "-"
> 
> Docetl jsem se, ze to je zpusobeno "open proxy".

Způsobeno je to tím, že někdo otevřený proxy server hledá.
A propos, je 205.231.29.241 = listme.dsbl.org, takže si kladnou reakcí 
koledujete o omístění na blacklist.

Důležité je, jak na to reagujete. Na CONNECT vracíte 403, což je dobře.
Divné jsou reakce 200 na zbylé požadavky (a zejména na ten poslední,
který snad ani není syntakticky správně). Je možné, že to dělá (dělal) 
mod_proxy (viz níže).

Nejlepší je zkusit to reprodukovat ručně a zjistit, zda to požadavky 
úspěšně vyřizuje, nebo zda je to nevyřizuje, ale z nějakého podivného 
důvodu vrací 200 místo chyby.

> Ale mod_proxy mam sice povoleny, ale requesty zakazane.

A proč máte mod_proxy vůbec povolený? Používáte ho na něco?

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."