On 06.11.2008 21:47, Onder Arslan wrote:
> Konuyu çok uzattım sıkılanlardan özür dileyerek son 2 sorum :
> " Ayrica siz de disaridan sunucuya baglanip
> deneyebilirsiniz kontrol amacli." yazmışsınız. Dışarıdan kendi
> sunucumdan başka
> bir yere nasıl bu şekilde (118.168.142.251 <http://118.168.142.251/> nin
> denediği gibi) mail gönderilir ,
> nasıl denerim anlamadım.
$ telnet 10.0.2.25 80 <===
Trying 10.0.2.25...
Connected to 10.0.2.25.
Escape character is '^]'.
GET / HTTP/1.0 <===
<===
HTTP/1.1 200 OK
Date: Fri, 07 Nov 2008 03:59:53 GMT
Server: Apache
Last-Modified: Thu, 21 Sep 2006 14:32:42 GMT
ETag: "f870f-359-41df798a63680"
Accept-Ranges: bytes
Content-Length: 857
Connection: close
Content-Type: text/html
<html>
<head>
<meta http-equiv="Content-Language" content="en-us">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
[...]
Okla gosterdiklerim sizin ekrana yazdiklariniz. GET komutunu yazdiktan
sonra 2 kere return tusuna basmalisiniz. 10.0.2.25 yerine
bilgisayarinizin adini girin.
"GET / HTTP/1.0" yerine "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" yazip
gelen cevaba bakin.
> Bir de mod_security diye bir mode buldum sanırım bu herşeyin çözümü
> gibi, yoksa değil mi?
mod_security bircok seyin cozumu. Ama bu konu icin gerekli degil.
Isinizi goren en basit cozumu kullanin. "The worst enemy of security is
complexity."
--
Eray
> Teşekkürler tekrar
>
> 06 Kasım 2008 Perşembe 00:34 tarihinde Eray Aslan <[EMAIL PROTECTED]
> <mailto:[EMAIL PROTECTED]>> yazdı:
>
> On 05.11.2008 23:54, Onder Arslan wrote:
> > httpd.conf dosyasını incelediğimde içinde proxy geçen aşağıdaki
> modüllerin
> > yüklü olduğunu gördüm. Bunları # ile kapatmam yeterli olur mu?
> >
> > LoadModule proxy_module lib/httpd/modules/mod_proxy.so
> > LoadModule proxy_connect_module lib/httpd/modules/mod_proxy_connect.so
> > LoadModule proxy_ftp_module lib/httpd/modules/mod_proxy_ftp.so
> > LoadModule proxy_http_module lib/httpd/modules/mod_proxy_http.so
> > LoadModule proxy_ajp_module lib/httpd/modules/mod_proxy_ajp.so
> > LoadModule proxy_balancer_module
> lib/httpd/modules/mod_proxy_balancer.so
>
> Kullanmiyosaniz kapatin. Ama modulleri yuklemeniz kullandiginiz
> anlamina gelmiyor. ProxyRequests On tarzi (veya ProxyPass) bir komut
> yoksa kullanmiyorsunuz.
>
> > Bahsettiğiniz gibi limit ve limit except satırlarını (aşağıdaki gibi)
> > httpd.conf
> > dosyama tanımlarsam sunucumdan spam yapılmasını önler miyim?
> > |<Limit | |PUT| |DELETE| |CONNECT| |OPTIONS| |PATCH| |PROPFIND|
> > |PROPPATCH| |MKCOL| |COPY| |MOVE| |LOCK| |UNLOCK||>
> > Require valid-user
> > </Limit>|
> >
> > |<LimitExcept POST GET>
> > Require valid-user
> > </LimitExcept> |
>
> Sunucunun calismasini engellemeyecekse birinden biri olabilir ama
> asagiya bakin.
>
> > Birde belli klasörününe erişimi aşağıdaki kodla engelleyebilirim
> > sanıyorum ama
> > server 'ın bu ip nosuna hiç yanıt vermemesini sağlayabilir miyim?
> > |<Directory />
> > Order Deny,Allow
> > Deny |118.168.142.251 <http://118.168.142.251>
> <http://118.168.142.251/>
> > | </Directory> |
>
> Olur ama kullanilabilir bir yontem degil. Bu tarz denemeler bir suru
> IP'den gelecek. Her IP buldugunuzda http.conf'a mi ekleyeceksiniz?
> Sonsuza kadar kalacak mi bu yasak? Sonu yok.
>
> > ||Server güvenliği ile ilgili bu logları daha kolay analiz
> edebileceğim
> > bir tool önerebilir misiniz?
>
> Ilk basta manuel olarak loglari gozden gecirin ve anlamadiginiz log
> kalmayana kadar web'de, mailing list'lerde vs arastirin. Yani
> yaptiginiz dogru.
>
> > Sorularım biraz hazıra kaçmak gibi oldu ama, oku oku bitmiyor.
> > Şu spamcıdan bir kurtulayım okumaya devam ediyorum aynı zamanda.
>
> Bu tarz log cok goreceksiniz. Internet'e bagliysaniz o veya bu acik
> denemesi illa yapilir. Kurtulunacak birsey degil yani. Ayrica spam
> yapiyor olsaniz boyle birkac log olmaz binlerce olur. Spam yapiyor
> olmaniz dusuk ihtimal. Ayrica siz de disaridan sunucuya baglanip
> deneyebilirsiniz kontrol amacli.
>
> Kolay gelsin
> Eray
>
> > Teşekkürler
> >
> > Önder
> >
> >
> >
> >
> > 05 Kasım 2008 Çarşamba 12:54 tarihinde Eray Aslan
> <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
> > <mailto:[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>>> yazdı:
> >
> > On 05.11.2008 00:13, Onder Arslan wrote:
> > [...]
> > > 118.168.142.251 <http://118.168.142.251>
> <http://118.168.142.251> <http://118.168.142.251>
> > - - [04/Nov/2008:19:24:22
> > > +0200] "CONNECT mail3.xps.idv.tw:25
> <http://mail3.xps.idv.tw:25> <http://mail3.xps.idv.tw:25>
> > <http://mail3.xps.idv.tw:25>
> > > HTTP/1.0" 200 2527
> >
> > 118.168.142.251 <http://118.168.142.251>
> <http://118.168.142.251> IP sahibi mail3.xps.idv.tw
> <http://mail3.xps.idv.tw>
> > <http://mail3.xps.idv.tw>'ye sizin sunucunuzu
> > kullanarak email gondermek istiyor. Basarili olursa sizin
> sunucudan
> > spam yapacak buyuk ihtimal ile.
> >
> > Apache'de mod_proxy kullanmiyorsaniz sorun yok. /index.html
> sayfasini
> > gonderir apache. Kontrol icin 2527 index.html'nizin buyuklugu mu?
> >
> > 200 yerine 4xx kodu isterseniz Limit ve LimitExcept'e bakin ama
> > index.html gidiyorsa bu halde kalmasinin bir sakincasi yok.
> >
> > --
> > Eray
> >
> > > 118.168.137.196 <http://118.168.137.196>
> <http://118.168.137.196> <http://118.168.137.196>
> > - - [04/Nov/2008:19:54:11
> > > +0200] "CONNECT mail3.xps.idv.tw:25
> <http://mail3.xps.idv.tw:25> <http://mail3.xps.idv.tw:25>
> > <http://mail3.xps.idv.tw:25>
> > > HTTP/1.0" 200 2527
> > > 118.168.142.251 <http://118.168.142.251>
> <http://118.168.142.251> <http://118.168.142.251>
> > - - [04/Nov/2008:20:22:00
> > > +0200] "CONNECT mail3.xps.idv.tw:25
> <http://mail3.xps.idv.tw:25> <http://mail3.xps.idv.tw:25>
> > <http://mail3.xps.idv.tw:25>
> > > HTTP/1.0" 200 2527
> > > 118.168.137.196 <http://118.168.137.196>
> <http://118.168.137.196> <http://118.168.137.196>
> > - - [04/Nov/2008:20:52:15
> > > +0200] "CONNECT mail3.xps.idv.tw:25
> <http://mail3.xps.idv.tw:25> <http://mail3.xps.idv.tw:25>
> > <http://mail3.xps.idv.tw:25>
> > > HTTP/1.0" 200 2527
> > >
> > > ve benzeri satırlarla karşılaştım. Google da arama yaptım
> (CONNECT
> > > mail3.xps.idv.tw:25 <http://mail3.xps.idv.tw:25>
> <http://mail3.xps.idv.tw:25>
> > <http://mail3.xps.idv.tw:25>) forumda
> > > benzer ip ve benzer loglar var ama ingilizce bir kaynak yada
> > açıklayıcı
> > > bilgi bulamadım. Default olarak yüklenmediyse
> > > mail server da kurmadım. Bu loglar bu ip nedir? Yardımcı
> olursanız
> > > sevinirim.
> > >
> > > Yanlış mail grubuna yazdıysam şimdiden özür dilerim.
> > >
> > > Önder
> > >
> > >
> > >
> > >
> > >
> >
> ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Linux E-Posta Listesi
> > > [email protected] <mailto:[email protected]>
> <mailto:[email protected] <mailto:[email protected]>>
> > >
> > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu
> > listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı
> > adresini kullanarak 1 dakika içinde üyeliğinizi
> sonlandırabilirsiniz.
> > > http://liste.linux.org.tr/mailman/listinfo/linux
> >
> > _______________________________________________
> > Linux E-Posta Listesi
> > [email protected] <mailto:[email protected]>
> <mailto:[email protected] <mailto:[email protected]>>
> >
> > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu
> listeden
> > gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini
> > kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
> > http://liste.linux.org.tr/mailman/listinfo/linux
> >
> >
> >
> >
> ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Linux E-Posta Listesi
> > [email protected] <mailto:[email protected]>
> >
> > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu
> listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı
> adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
> > http://liste.linux.org.tr/mailman/listinfo/linux
>
> _______________________________________________
> Linux E-Posta Listesi
> [email protected] <mailto:[email protected]>
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden
> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini
> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
> http://liste.linux.org.tr/mailman/listinfo/linux
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Linux E-Posta Listesi
> [email protected]
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> http://liste.linux.org.tr/mailman/listinfo/linux
_______________________________________________
Linux E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux
