Merkwürdige Einträge bei squid

Rund um die Sicherheit des Systems und die Applikationen
flotte
Posts: 93
Joined: 2002-09-13 23:27

Merkwürdige Einträge bei squid

Post by flotte » 2003-05-28 09:56

Code: Select all

1054075051.774   5680 66.207.203.6 TCP_MISS/200 412 CONNECT 65.54.254.129:25 - DIRECT/65.54.254.129 -
1054075052.767   6979 66.207.203.6 TCP_MISS/200 422 CONNECT 65.54.254.151:25 - DIRECT/65.54.254.151 -
1054075057.322   7880 66.207.203.6 TCP_MISS/200 419 CONNECT 65.54.254.151:25 - DIRECT/65.54.254.151 -
1054075061.327   4351 66.207.203.6 TCP_MISS/200 419 CONNECT 65.54.253.230:25 - DIRECT/65.54.253.230 -
Was bedeuted solche Einträge im Squid-log?
Squid läuft im lokalen Netzwerk unter SuSE 8.0 und stellt die Internetverbindung über dsl zur Verfügung. Weiter läuft auf dem Server ein sendmail. Die angegebenen IPs sind im lokalen Netz unbekannt.

Von diesen Einträgen gibt es einige tausend pro Tag.
Bin ratlos.

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Merkwürdige Einträge bei squid

Post by jtb » 2003-05-28 11:28

ein CONNECT deutet meistens auf eine SSL-Verbindung hin.. Es gibt aber Tools, die dann darüber beliebige Daten tunneln können..

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Merkwürdige Einträge bei squid

Post by dodolin » 2003-05-28 14:03

1054075051.774 5680 66.207.203.6 TCP_MISS/200 412 CONNECT 65.54.254.129:25 - DIRECT/65.54.254.129 -
Ein CONNECT auf Port 25 wird benutzt, um über offene Proxies zu SPAMMEN! Ein HTTP Code von 200 deutet darauf hin, dass dieser Zugriff erfolgreich war!

Also checke doch bitte mal folgendes:

telnet $Dein_Proxy $Dein_Proxy_Port

Dann eintippseln:

CONNECT 65.54.254.129:25

Und ein- oder zweimal <ENTER> drücken. Was erhälst du für Ausgaben?
Was, wenn du z.B.

CONNECT mx00.schlund.de:25

Was sagt deine squid.conf zu safe_ports, etc.?

flotte
Posts: 93
Joined: 2002-09-13 23:27

Re: Merkwürdige Einträge bei squid

Post by flotte » 2003-05-28 14:25

In beiden Fällen kommt ein Fehlermeldung des squid in HTML in dieser Art

Code: Select all

<TITLE>ERROR: The requested URL could not be retrieved</TITLE>
</HEAD><BODY>
<H1>ERROR</H1>
<H2>The requested URL could not be retrieved</H2>
<HR>
<P>
While trying to process the request:
<PRE>
connect mx00.schlund.de:25


</PRE>
<P>
The following error was encountered:
<UL>
<LI>
<STRONG>
Invalid Request
</STRONG>
</UL>
...
Mittlerweise habe ich die Zugriffsregeln verfeinert. Nur noch lokale Clients haben Zugang.

Der Proxy hängt über ein Einwahlverbindung am Netz, also stetig wechselnder IPs. Hätte nicht gedacht, das auch hier Gefahren bestehen.
In den sendmail-Logs giobt es keine verdächtigen Mails.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Merkwürdige Einträge bei squid

Post by dodolin » 2003-05-28 15:00

Invalid Request
Hups, ok. Habe nochmal den HTTP RFC überflogen:

Versuch mal diese Zeile:

CONNECT mx00.schlund.de:25 HTTP/1.1

Die Großschreibung und Spaces beachten.
Mittlerweise habe ich die Zugriffsregeln verfeinert. Nur noch lokale Clients haben Zugang.
Boah, was bist du krass! Sowas sollte *vor* der Inbetriebnahme eines Proxies eigentlich selbstverständlich sein. Außerdem wäre es sinnig, den Proxy nur auf lokale Interfaces zu binden.
Der Proxy hängt über ein Einwahlverbindung am Netz, also stetig wechselnder IPs. Hätte nicht gedacht, das auch hier Gefahren bestehen.
Natürlich! Gerade da!
In den sendmail-Logs giobt es keine verdächtigen Mails.
Logisch, die Spammer nutzen ja auch externe Mailserver, und nicht deinen. Außerdem hättest du dann CONNECT 127.0.0.1:25 in deinen Logfiles und nicht eine externe IP.

Uff, ich bin mal wieder platt! Hoffentlich ist jetzt alles dicht bei dir...

flotte
Posts: 93
Joined: 2002-09-13 23:27

Re: Merkwürdige Einträge bei squid

Post by flotte » 2003-05-28 17:14

Uff, ich bin mal wieder platt! Hoffentlich ist jetzt alles dicht bei dir...
Hui, ich auch :)
Anfängerfehler... man lernt draus. Danke!