napadení httpd; využití mod_proxy
Ing. Karel Babka
dekls na volny.cz
Pondělí Duben 2 11:06:55 CEST 2007
Pavel Kankovsky napsal(a):
> On Mon, 26 Mar 2007, Ing. Karel Babka wrote:
>
>
>> Teď vím, co znamenají řádky v logu.
>> Ale dál:
>> - stačí opatření, které jsem provedl?
>>
>
> Tak si to vyzkoušejte.
>
To jsem udělal. Na yahoo pošťáka jsem se nedostal, Apache vracel text
mojí titulní stránky.
Zjistil jsem, že moje pokusy s telnetem vypadají v logu stejně, jako ty
od ´hackera´, srovnej
12.74.140.50 - - [28/Mar/2007:23:55:58 +0200] "CONNECT
mx1.mail.yahoo.com:25 HTTP/1.0" 200 3892 "-" "-"
12.74.140.50 - - [28/Mar/2007:23:55:58 +0200] "POST
http://12.74.140.50:25/ HTTP/1.1" 200 3892 "-" "-"
127.0.0.1 - - [29/Mar/2007:22:52:53 +0200] "CONNECT
mx1.mail.yahoo.com:25 HTTP/1.0" 200 3892 "-" "-"
127.0.0.1 - - [29/Mar/2007:22:55:17 +0200] "CONNECT
mx1.mail.yahoo.com:25 HTTP/1.0" 200 3892 "-" "-"
127.0.0.1 - - [29/Mar/2007:22:58:44 +0200] "GET http://www.ebay.com" 200
3892 "-" "-"
tak jsem zkusil links
192.168.1.254 - - [29/Mar/2007:23:05:20 +0200] "GET / HTTP/1.0" 200 3892
"-" "ELinks/0.11.1 (textmode; Linux; 149x41-3)"
a uložil na disk titulní stranu. Jak jinak, měla 3892 B. Tak že žádný
tunel se zřejmě nekonal, hacker dostal moji titulní stránku a skončil.
Alespoň si to myslím.
--
Ing. Karel Babka +420 373 730 340
fa Dekl&syn +420 606 268 746
Ořechová 12 email:dekls at volny dot cz
326 00 Plzeň, CZ http: in reconstruction
Další informace o konferenci Linux