"Esse cara" só esta tentando usar o seu apache como proxy, tentando enviar spam.
verifique tambem nos logs de erro; se o seu apache estiver corretamente configurado (não permitindo proxy) vai ter uma mensagem de erro para cada tentativa. []s Antonio Torres On 5/25/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > > Bom dia amigos! > > > Seguinte, estava acompanhando (tail -f /var/log/httpd-access) os logs do > apache, e vi essas linhas que me deixou curioso: > > [EMAIL PROTECTED] /var/log]# cat httpd-access.log | grep mail3.xps.idv > 118.168.135.11 - - [23/May/2008:11:34:57 -0300] "CONNECT > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-" > 118.168.135.11 - - [23/May/2008:12:06:46 -0300] "CONNECT > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-" > 118.168.135.11 - - [23/May/2008:13:49:34 -0300] "CONNECT > mail3.xps.idv.tw:25 HTTP/1.0" 200 5 "-" "-" > 118.168.141.231 - - [25/May/2008:10:57:57 -0300] "CONNECT > mail3.xps.idv.tw:25 HTTP/1.0" 200 3681 "-" "-" > > Pelo que entendo, quem faz CONNECT é servidor proxy para acessar portas > consideradas seguras (safe-ports)... o que pode ser isso? > > Pela lógica entendo que algum BOT tentou acessar meu servidor apache > pensando que era um SQUID (se colar colou) e tentou acessar um servidor smtp > em algum lugar na internet... verifiquei esse endereço acima e realmente é > um serviço de email (certamente para enviar SPAM)... > > Tentei simular o ocorrido, de casa configurei o proxy do meu firefox para o > ip do bsd, coloquei a porta 80, tentei acessar um site qualquer e surgiu o > conteúdo do meu servidor apache (normal)... tentei acessar uma porta segura > (https), não deu certo... o que me faz pensar que o ataque que os caras > tentaram acima não foi concluído com êxito. > > No PF uso BLOCK DROP LOG ALL, libero a porta do 80 em todas as interfaces, > mas o proxy somente em rede local (dansguardian ouve em loopback, squid para > interface local)... mesmo assim para ter certeza, tentei acessar a porta > 8080 (dansguardian) via web, e o PF bloqueou (NMAP só mostra 80). > > Resumindo: esse cara achou que era um SQUID ou realmente é alguma falha que > pode ser explorada no APACHE? (no apache uso MOD_PROXY mas somente para > fazer meus sub-domínios serem redirecionados para outros servidores: IIS por > exemplo). > > Bom fim de semana. > > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
