access_log -> CONNECT Port 25 im Header

[henningw]

Hallo liebe Gemeinde,
mir ist aufgefallen, dass ich am 21.8. ca.5 GB Traffic auf dem Server hatte, im access_log habe ich nun folgenden Eintrag gefunden:

63.209.180.6 - - [21/Aug/2004:00:11:03 +0200] "CONNECT mailin-02.mx.aol.com:25 HTTP/1.0" 200 2745
63.209.180.6 - - [21/Aug/2004:00:14:08 +0200] "CONNECT mailin-03.mx.aol.com:25 HTTP/1.0" 405 351

Irgendwie habe ich da ein ungutes Gefühl, kennt jemand diesen Eintrag? Die IP paßt zumindestens nicht zu mailin-02.mx.aol.com

BTW: formmail läuft nicht auf dem Server.


Danke für die Rückmeldungen!

Henning

[stefanpropehan]

Ja das sieht aus als wenn dein apache fremde mails relayed.... evtl. ein proxy (mod_proxy) aktiv?

Auf jeden Fall denn apachen abschalten und auf Fehlersuche gehen - sonst stehst du bald auf sämtlichen Blacklisten der Welt!

Stefan

[henningw]

Nee, mod_proxy ist nicht aktiviert!

[stefanpropehan]

Auf jeden Fall werden Emails erfolgreich über Deinen Apachen versendet (offener Proxy??) .... das sagt ja jedenfalls Dein access_log (Status Code 200).

Versuche mal folgendes....

Code: Select all

telnet <IP> 80<enter>
CONNECT mailin-02.mx.aol.com:25 HTTP/1.0<enter><enter>

Und Poste was passiert? (<ip> durch die ip oder denn Domain Namen deines Server ersetzen)

Stefan

[henningw]

Hi Stefan,
so sieht das aus:

Code: Select all

HTTP/1.1 200 OK
Date: Tue, 31 Aug 2004 13:41:43 GMT
Server: Apache
Connection: close
Content-Type: text/html

<HTML>
<HEAD>
<META content="text/html; charset=" http-equiv=Content-Type>
<LINK href="/style.css" rel=stylesheet type=text/css>
</HEAD>

<BODY bgColor=#ffffff bottomMargin=0 leftMargin=0 topMargin=0 MARGINHEIGHT="0" MARGINWIDTH="0">
<table class="tblbgcolor" align="left" border="0" cellpadding="3" cellspacing="0" bordercolorlight="#CCCCCC" bordercolordark="#FFFFFF">
<tr>
    <TD vAlign=top><p>&nbsp; </p></TD>
    <TD valign="top">
      <P align="center">&nbsp;</P>
      <P align="center"><img src="logogross.gif" width="382" height="101"></P>
      <P align="center">The domain "" is not available.</P>
      </TD>
  </TR>
</TABLE>
</BODY>
</HTML>
Connection closed by foreign host.

Das ist meine Fehlerseite von Confixx. Ist es wirklich so schlimm?

Danke schonmal!
Henning

[stefanpropehan]

Aber eigentlich dürfte dann nicht der Status Code 200 folgen...

hast du mal das telnet auf einen Host der in deiner Apache Konfiguration aufgeführt ist gemacht?

[henningw]

Ist überall das gleiche, auch bei verschiedene IP's des Servers

[stefanpropehan]

Ich bin mir nicht sicher.... aber es gibt eine Konfiguration (Apache, mod-php 4.3.0) bei der der Apache eine Status Code 200 zurück gibt obwohl der Request nicht erfolgreich war...

http://groups.google.com/groups?hl=da&l ... CTU.edu.tw

Was mich aber ein deiner Stelle beunruhigen würde ist das 5 GB Traffic entstanden sind... das kann heißen es hat nur jemand versucht Deinen Server als offenen Proxy zu benutzen oder es hat wirklich geklappt... wie gesagt bin ich mir nicht sicher!

Stefan

[henningw]

Ja, mit den 5 GB finde ich auch merkwürdig. Werde mal das RZ kontaktieren, ob die vielleicht ein Fehler in der Messung hatten, mein Confixx zeigt keine ungewöhnlichen Spitzen an.

Danke noch für den Link und die Hilfe!

Gruß,
Henning

[Joe User]

http://www.google.com/search?hl=en&ie=U ... gle+Search

[gierig]

Auf jeden Fall werden Emails erfolgreich über Deinen Apachen versendet (offener Proxy??) .... das sagt ja jedenfalls Dein access_log (Status Code 200).

???? Nö sagt es nicht.

Auszug von:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

Code: Select all

10.2 Successful 2xx
This class of status code indicates that the client's request was successfully received, understood, and accepted. 
10.2.1 200 OK
The request has succeeded. The information returned with the response is dependent on the method used in the request, for example: 
GET an entity corresponding to the requested resource is sent in the response; 
HEAD the entity-header fields corresponding to the requested resource are sent in the response without any message-body; 
POST an entity describing or containing the result of the action; 
TRACE an entity containing the request message as received by the end server. 

Auf Deutsch, der erste Log eintrag sagt das eine request auf eine Seite
erfolgreich war und sie angeforderte Seite ausgeliefert wurde.

der zwei Logauszug bringt einen 405 Fehler, der dann sagt das die
angeforderte seite nicht gefunden werden konnte.

Ohne genaue Logs wird zum Ratespiel.
Vorallem kann mann nicht sagen ob da wiklich mails drüber geflossen sind. im Connect Srting von http1.1 kann schlieslich auch sonstst was stehen.

[stefanpropehan]

Auf Deutsch, der erste Log eintrag sagt das eine request auf eine Seite
erfolgreich war und sie angeforderte Seite ausgeliefert wurde.

Ja - aber dürfte denn ein Status Code 200 bei diesem Request und nicht vorhandenem Proxy erfolgen?

Stefan

[sascha]

Code: Select all

<Location />
    <Limit CONNECT>
	Order deny,allow
	Deny from all
    </Limit>
</Location>

[henningw]

Danke für den Tip, jetzt wird ein

403 Forbidden

ausgeliefert.

Gruß,
Henning