Merkwürdige Meldungen in access_log (nicht Code Red)

[xerxes23]

Hallo

Ich habe vor kurzem folgende Meldungen in meiner access_log gefunden:

24.168.151.107 - - [24/Feb/2003:09:31:14 +0100] "CONNECT out.talk21.com:25 HTTP/1.0" 200 11671

und noch weitere ähnliche. Was hat das zu bedeuten?? Was mich verwundert ist ja die 200 am Ende, also hat die Anfrage wohl geklappt. Wenn es ein 404 oä gewesen wäre, hätte mich die Meldung auch nicht weiter gestört.

mfg

[captaincrunch]

24.168.151.107 - - [24/Feb/2003:09:31:14 +0100] "CONNECT out.talk21.com:25 HTTP/1.0" 200 11671

Setzt du eine Nuke-System ein ?

[xerxes23]

Nuke-System?? Wenn ich wüsste was es ist, dann könnte ich auch sagen ob ich es hab. :oops:

Ich hab gerade noch eine neue Meldung gesehen:

217.21.114.159 - - [25/Feb/2003:02:32:28 +0100] "x04x01" 200 11671
217.21.114.159 - - [25/Feb/2003:02:32:49 +0100] "x05x01" 200 11671
217.21.114.159 - - [25/Feb/2003:02:32:50 +0100] "CONNECT 207.46.181.13:25 HTTP/1.1" 200 11699

Bei den oberen beiden auch wieder erfolgreicher Zugriff.

[dodolin]

Servus, sofern der Request wirklich funktioniert (der 200er Code also korrekt ist), dann wird gerade kräftig über deinen offenen Proxy gespammt ("CONNECT $IP:25"). Solltest du mal schleunigst abstellen, wenn du nicht auf sämtlichen Blacklisten landen willst...

EDIT: Sofern du aber bei 1&1 bist, werden die dir aber ziemlich bald (sobald sich der erste Spam-Empfänger bei dortigen Abuse beschwert) TCP Port 25 ausgehend abklemmen und das Problem hat sich von alleine gelöst. :o Die Nebenwirkungen dabei sind allerdings, dass du dann auch selbst keinerlei Mails von deinem Server aus verschicken kannst.

[xerxes23]

Sowas hab ich mir ja halb gedacht, und deswegen vorsorglich erst mal bei mir den Port25 gesperrt. Aber wo ist jetzt das Loch, bzw wo kann ich den Proxy deaktivieren??

Kennt vielleicht jemand noch ein Tool mit dem ich testen kann ob der Proxy noch aktiv ist?

[dodolin]

Hm... Port 25 gesperrt? Auch wirklich in OUTPUT und mit DPORT 25? -> Gut.

Proxy deaktivieren? -> httpd.conf
Du könntest auch mal /server-info aufrufen und schauen, was in mod_proxy denn so alles konfiguriert ist.

Wie du das testen kannst?

Code: Select all

[dominik@sklave dominik]$ telnet sklave 3128
Trying 192.168.1.1...
Connected to sklave.
Escape character is '^]'.
CONNECT smtp.1und1.com:25 HTTP/1.0

HTTP/1.0 403 Forbidden
[...]

Statt "sklave" gibst du halt den Hostnamen deines Rootservers und statt "3128" deinen Port (80?) an, auf dem der Apache läuft.

Wenn du mit einem Mailserver reden kannst, also sein 200er Greeting-Banner siehst, dann tut es.

EDIT: Nach der Zeile mit CONNECT musst du zwei mal <Enter> drücken.

[xerxes23]

Danke erst mal an alle für die schnelle Hilfe. :)

Also in der httpd.conf war der Proxy schon deaktiviert. Getestet hab ichs auch mal. Aber das einzigste was er macht, er listet mir meine Hompage auf, von einem Mailserver ist aber nix zu sehen. Er bringt mir dann auch die selbe Maldung in der access_log. Also scheint ja soweit doch alles normal zu sein?!?

Falls jemand von meine Server aus spam verschickt hätte, würde ich das dann nicht auch am Traffic sehen?? Den daran ist mir nichts aufgefallen.

[dodolin]

Hm... dann hatte ich vielleicht zu früh Alarm geschlagen, sorry. Gerade nochmal mit meinem eigenen Apachen getestet:

Code: Select all

[dominik@sklave dominik]$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
CONNECT smtp.1und1.com:25 HTTP/1.0

HTTP/1.1 200 OK
[...]

Liefert auch hier das Dokument / zurück. Irgendwie seltsam, aber gut. Dann brauchst du dir wohl doch keine Sorgen zu machen, wenn dein Apache dicht ist. Oder hast du ihn vielleicht noch auf einem anderen Port als Proxy laufen?

[xerxes23]

Lieber zu früh, als zu spät. Hauptsache jetzt ist alles wieder "sicher" und ich kann wieder in Ruhe schlafen. 8)
Mein Apache läuft nur auf 80, alles andere würde meine FW blcoken.

Thx nochmal an alle.

[crasline]

Servus, sofern der Request wirklich funktioniert (der 200er Code also korrekt ist), dann wird gerade kräftig über deinen offenen Proxy gespammt ("CONNECT $IP:25"). Solltest du mal schleunigst abstellen, wenn du nicht auf sämtlichen Blacklisten landen willst...

EDIT: Sofern du aber bei 1&1 bist, werden die dir aber ziemlich bald (sobald sich der erste Spam-Empfänger bei dortigen Abuse beschwert) TCP Port 25 ausgehend abklemmen und das Problem hat sich von alleine gelöst. :o Die Nebenwirkungen dabei sind allerdings, dass du dann auch selbst keinerlei Mails von deinem Server aus verschicken kannst.

Dazu wollt ich noch was anhängen falls es jemanden interessiert ... es gibt da ne nette Liste wo man testen kann ob man nen offenen Relay hat ..

:arrow: http://relaytest.kundenserver.de ..

Puretec wartet nicht mal die erste Beschwerdemail ab, sondern kontrolliert die Server regelmäßig ..

[dodolin]

Jepp, die Adresse ist gut. Kannte ich aber schon. Trotzdem sicher interessant für die Leser hier.

Aber: Der testet nur auf offenes Relay, nicht auf offene Proxies (wie ja hier beim OP zuerst vermutet), AFAIK.