El Mon, 26 May 2003 23:42:09 +0200 sagrario <[EMAIL PROTECTED]> escribi�:
> Hola
>
> se me est�n llenando los logs con cosas como estas
> hay alguna forma de evitarlo?
>
> 64.201.104.98 - - [26/May/2003:22:58:46 +0200] "CONNECT
> 202.85.139.200:25 HTTP/1.0" 200 11274 "-" "
>
> es evidente que usan el servidor como puente para conectar con
> otros. desde luego ni la direccion de origen , ni la de destino son
> la mia se puede hacer algo a nivel de firewall o de apache?
>
Hola:
F�jate que el n�mero que est� des pues del 200 (el 11274) puede ser
el mismo que el n�mero que aparece cuando hay un "GET / HTTP/1.0" 200
xxxxxxxxx. Eso significa que tu apache le devuelve el / en vez de la
petici�n que realiz� el atacante.
Lo que tu dices puede ser verdad si tienes activado y mal configurado
el mod_proxy, si no lo utilizas y lo cargas en el arranque de apache,
ser�a muy bueno que lo saques (tu m�quina est� funcionando "open
proxy"). Y si necesitas el mod_proxy para algo, ser�a bueno que te
asegures de que no se pueda realizar ning�n tipo de "puente" entre el
atacante y la m�quina destino. En realidad no es tan "atacante" sino,
debe ser alg�n bot que constantemente busca m�quinas "open proxy".
Si quieres librarte de esos logs, puedes hacer alguna regla
personalizada para ese tipo de peticiones y guardarlas en /dev/null o
en un log especial para esas peticiones (junto a las de /scripts/..,
/default.ida? y las de /.hash y tantas otras que aparecen cada tanto).
--
Atentamente, yo <Mat�as>
Nunca hay libertad en una invasi�n
http://www.nnss.dre.la
Proyecto Wishlist [EMAIL PROTECTED] subject=subscribe
pgpcJFOFFIfzA.pgp
Description: PGP signature
