Re: napadení httpd; využití mod_proxy
Dalibor Toman
dtoman na fortech.cz
Pondělí Březen 26 16:30:32 CEST 2007
On Monday, March 26, 2007 12:42 PM ,
Ing. Karel Babka <dekls na volny.cz> wrote:
> Zdravím,
>
> mám FC6, httpd v defaultním nastavení, v logu se mi objevila
> následující hláška:
>
> 203.70.116.212 - - [23/Mar/2007:06:38:29 +0100] "CONNECT
> 206.190.53.191:25 HTTP/1.1" 200 3892 "-" "-"
> 203.70.116.212 - - [23/Mar/2007:06:38:30 +0100] "GET
> http://www.ebay.com/ HTTP/1.1" 200 3892 "-" "Mozilla/4.0
> (compatible;
> MSIE
> 5.00; Windows 98)"
>
>
> Co znamená ten log, byl httpd využit pro přístup na ebay.com? Je
> moje
> opatření postačující, nebo mám provést ještě něco?
> Díky
prvni radek:
bylo provedeno pripojeni na port 25 (SMTP) na pocitac
mta-v11.mail.vip.re2.yahoo.com. - cili klasicky pokus o zneuziti https
proxy serveru ke spamovani. Nezabezpeceny HTTPS proxy server je hodne
nebezpecna vec - zneuzitelna prakticky k pripojenim na prakticky
vsechny sluzby bezici nad TCP, protoze zcela transparentne 'tuneluje'
prenasena data (navaze spojeni s pozadovanym cilem a dal uz jen
prehazuje data aniz by si jich vsimala)
druhy radek:
pokus o nacteni titulni stranky www.ebay.com. Muze jit jen o test zda
ta proxy funguje. Pripadne muzet proxy fungovat jako anonymizer pro
urocnika (v logu eBaye neni pak IP utocnika)
D. Toman
Další informace o konferenci Linux