napadení httpd; využití mod_proxy

[Ing. Karel Babka]

Dalibor Toman napsal(a):
> On Monday, March 26, 2007 12:42 PM ,
> Ing. Karel Babka <dekls na volny.cz> wrote:
> 
>> Zdravím,
>>
>> mám FC6, httpd v defaultním nastavení, v logu se mi objevila
>> následující hláška:
>>
>> 203.70.116.212 - - [23/Mar/2007:06:38:29 +0100] "CONNECT
>> 206.190.53.191:25 HTTP/1.1" 200 3892 "-" "-"
>> 203.70.116.212 - - [23/Mar/2007:06:38:30 +0100] "GET
>> http://www.ebay.com/ HTTP/1.1" 200 3892 "-" "Mozilla/4.0 
>> (compatible;
>> MSIE
>> 5.00; Windows 98)"
>>
>>
>> Co znamená ten log, byl httpd využit pro přístup na ebay.com? Je 
>> moje
>> opatření postačující, nebo mám provést ještě něco?
>> Díky
> 
> prvni radek:
> bylo provedeno pripojeni na port 25 (SMTP) na pocitac 
> mta-v11.mail.vip.re2.yahoo.com. - cili klasicky pokus o zneuziti https 
> proxy serveru ke spamovani. Nezabezpeceny HTTPS proxy server je hodne 
> nebezpecna vec - zneuzitelna prakticky k pripojenim na prakticky 
> vsechny sluzby bezici nad TCP, protoze zcela transparentne 'tuneluje' 
> prenasena data (navaze spojeni s pozadovanym cilem a dal uz jen 
> prehazuje data aniz by si jich vsimala)
> 
> druhy radek:
> pokus o nacteni titulni stranky www.ebay.com. Muze jit jen o test zda 
> ta proxy funguje. Pripadne muzet proxy fungovat jako anonymizer pro 
> urocnika (v logu eBaye neni pak IP utocnika)
> 

Teď vím, co znamenají řádky v logu.
Ale dál:
- stačí opatření, které jsem provedl?
- nemám otevřený port 443, viz výpis nmap:
	STATE    SERVICE      VERSION
	22/tcp  open     ssh          OpenSSH 4.3 (protocol 2.0)
	25/tcp  open     smtp         Postfix smtpd
	80/tcp  open     http         Apache httpd 2.2.3 ((Fedora))
	135/tcp filtered msrpc
	445/tcp filtered microsoft-ds
	993/tcp open     ssl/imap     Dovecot imapdv módu proxy
-  ProxyRequests v /etc/httpd/conf/httpd.conf je zakomentovaný, jak tedy
    mohlo dojít k zneužití https proxy?
> 
> D. Toman
> 

Díky, Karel