Werde daraus nicht schlau

[dorny]

Hallole,

habe seit rund fünf Tagen folgenden Eintrag in den Apache-Logs:

ms59.hinet.net :: 220.136.178.57 - - [21/Jan/2005:08:32:01 +0100] "CONNECT ms59.hinet.net:25 HTTP/1.0" 200 838 "-" "-"

... und das alle ca. 20 min.
Habe schon .htaccess dem entsprechend angepasst (geblock)...

RewriteCond %{REMOTE_ADDR} ^168.95.(12[8-9]|1[3-9]|[0-9]|2[0-5][0-9]). [OR]
RewriteCond %{REMOTE_ADDR} ^220.136.(12[8-9]|1[3-9]|[0-9]|2[0-5][0-9]). [OR]

aber es scheint wenig geholfen zu haben. :?

Außer dass sich die Access-Log's mit der Zeit "aufblasen", konnte ich nichts feststellen... nur es macht mich irgendwie recht nervös

Kann mir bitte jemand sagen, wie ich mir das "übersetzen" kann/soll?

Vielen Dank

[Joe User]

Dein Apache (mod_proxy) wird möglicherweise als Spamschleuder genutzt...

[dorny]

Vielen Dank für die schnelle Antwort Joe!
Habe heute die ganze Nacht damit verbracht, zu finden, einzugrenzen, was es sein kann... ohne Ergebnis.

mod_proxy wird nicht geladenâ?¦ postfix erlaubt keine relaysâ?¦ und auch sonst â??scheintâ?? alles i.O. zu sein. Zu meiner Schande muss ich gestehen, dass mein Server schon recht betagt ist, was das System angehtâ?¦ Suse 8.1, Apache 1.3.26, php 4.2.2, mod_ssl 2.8.10, OpenSSL 0.9.6g, also nicht gerade auf dem aktuellen Stand, aber bis heute lief mein Server perfekt und ohne Problemeâ?¦ seit über 2 Jahren.

Mir ist bewusst, dass es kaum möglich ist eine Ferndiagnose zu erstellen, dafür ist das Thema zu komplexâ?¦ und natürlich ist es längs überfällig, das System auf den neuesten Stand zu bringenâ?¦. aber irgendwann mal werde ich mit Sicherheit mit ähnlichem Problem zu kämpfen haben, deswegen würde ich gerne dahinter kommen, was es sein kann und vor allem â??wieâ??.
Wenn nichts hilft, werde ich wohl oder übel den Server auf Suse 9.1 bringen müssen, aber bis dato möchte ich â??esâ?? herausfinden.
Falls weitere Info benötigt werden, alles kein Problem

Danke noch mal für euere Mühe

[christian-wf]

Hallo,
ich würde schnellstens zumindest die Sicherheitsupdates installieren. In PHP z.B. sind in letzter Zeit doch einige Sicherheitslücken publik geworden.:!:

Mfg. Christian

[t0x1c]

Hi,

eventuell die besagte IP-Adresse per iptables aussperren?
Hier im Forum sollten sich genug Beispiele dafür finden lassen.. :)

MfG
t0x1c

[dorny]

Hallo Christian,

danke für deine Antwort.
Wie ich bereits geschrieben habe, ist mir klar, dass mein Rootie nicht aktuell ist... aber wie man sieht macht er Connect auf Port 25 (SMTP)..
RewriteCond würde ihm bei php via .htaccess ja blocken ... aber die Connects bleiben nach wie vor.

Gruß

[dorny]

Hallo t0x1c,

vielen Dank... manchmal hat man die Lösung vor den Augen und man sieht sie einfach nicht... iptables genau, das sollte erstmal Abhilfe schaffen... dankeschön nochmal
Aber um die Aktuallisierung werde ich wohl oder übel nicht kommen... nur nicht jetzt... keine Zeit und die Ruhe alles sauber einzurichten.

Ich bedanke mich nochmal bei Allen... ihr habt hier wirklich ein schönes Board und vor allen sehr nette, fachkundige und hilfsbereite User... wenn ich dazu auch mal beitragen kann, sehr gerne!

Gruß

[alexander newald]

Hm, würden die Logeinträge nicht auch dann auftauchen, wenn mod_proxy zwar nicht aktiv ist, aber trotzdem versucht wird den zu nutzen (Ok, nutze mod_proxy nicht aber wer wiess?)

[dorny]

Der â??Vereinâ?? scheint mächtig großen IP-Bereich zu habenâ?¦ aber die iptables mit reject greifenâ?¦ nun ist erstmal ruhe.
Werde später noch alle Apache-Mods die nicht benötigt werden ggf. entfernenâ?¦ wo nichts ist, kann auch nichts nachgeladen werden.... der Rootie muss halt noch ne Weile so laufen... :oops:

[Joe User]

Hm, würden die Logeinträge nicht auch dann auftauchen, wenn mod_proxy zwar nicht aktiv ist, aber trotzdem versucht wird den zu nutzen (Ok, nutze mod_proxy nicht aber wer wiess?)

Ja, aber die Requests würden dann nicht mit 200 beantwortet werden.

[dodolin]

Sorry, aber ist doch keine Lösung!

Es wird nicht lange dauern, da kommt entweder der gleiche Spammer von anderen IPs oder der nächste Spammer hat das offene Scheunentor gefunden. Ich rate dir wirklich dringend (!) dazu, die Ursache zu suchen und das abzustellen. Für gewöhnlich kann ein Apache nur dann CONNECT machen, wenn er mod_proxy geladen hat. Ich zweifle daher an deiner Aussage, dass das nicht geladen wäre.

[aule]

Ich hab zwar keine Ahnung, wie du das unabsichtlich hättest schaffen können, aber vielleicht hast du mod_proxy einkompiliert?

Aule

[dorny]

Hallo,

mod_Proxy wird tatsächlich nicht geladen, ob man mir es glaubt oder nicht... habe mir natürlich alle geladene Module und Dienste angeschaut... nichts.
Tatsache ist aber, dass es nach dem Reaload und Neustart alle benötigten Diensten gerade mal 6 Stunden gedauert hat, bis erneut Connect mit "200" bestätigt wurde... und ich kann nicht die halbe Welt aussperren.
Irgendwie hat man einen Weg von Außen gefunden, den Server zu seinem Vorteil zu manipulieren und ich komme einfach nicht dahinter wie...
Wenn ich die Stunden zusammen zähle, die ich nun damit verbracht habe... um nichts zu finden... wäre der Server bereits auf dem neuesten Stand!
Das werde ich jetzt auch machen... muss leider kapitulieren... da ich wirklich mit meinem Latein am Ende bin. :oops:

Danke euch aber vielmals für euere Hilfe! :-D

Gruß

[wgot]

Hallo,

da ich wirklich mit meinem Latein am Ende bin.

Latein nützt da nix, probier's mal mit Telnet. :lol:

telnet <deine_domain> 80 (z.B. auf dem Win-PC)

CONNECT rootforum.org/<return>

Gruß, Wolfgang

[dodolin]

@wgot: Da muss mindestens noch ein Port dahinter und dann muss man 2 Mal <enter> drücken, nicht nur einmal. ;)

@dorny: Wie wäre es, wenn du den Apachen einfach abschaltest, bis du das Loch gefunden hast?! Ich hatte dir ja gesagt, dass es nicht lange dauern wird, bis der nächste das Loch gefunden hat, aber wer nicht hören will... Hast du deinen Inklusivtraffic im Auge oder hast du Flat? ;)

[wgot]

Hallo,

@wgot: Da muss mindestens noch ein Port dahinter und dann muss man 2 Mal <enter> drücken, nicht nur einmal.

stimmt - ohne Port und dafür nur ein Return liefert aber exakt das gleiche Ergebnis: ein HTML-Fehlerdokument.

Und ich glaube nicht, daß dorny was andres bekommt. :lol:

Gruß, Wolfgang

Edit: nochmal genau angeguckt auf 2 Servern (einmal Suse+Apache2, einmal Debian+Apache1.3): wenn der Aufruf einen Fehler enthält kommt ein vom Apache generiertes Fehlerdokument, wenn der Aufruf korrekt ist kommt der Default-Vhost.

[dorny]

Ich war es leid, Katz und Maus zu spielenâ?¦
Habe zwar nicht herausgefunden, wie (bzw. wo) die â??Burschenâ?? das Loch gefunden habenâ?¦ aber bei nem 2 Jahre altem Systemâ?¦ na ja
Jetzt ist alles auf dem neuesten Standâ?¦ ohne extra iptables etcâ?¦ nun kommen die Connects nach wie vor, allerdings werden sie jetzt mit â??404â?? abgewimmelt â?¦ so wie es sein sollte... 16 Stunden Arbeit, die sich aber gelohnt haben.

Gruß

PS. Zu dem Tellnet-Test bin ich nicht mehr gekommen, da ich den Server in der Zwischenzeit vom Netz nahmâ?¦ wäre auch ne Möglichkeit gewesen, die ich nicht getestet habe.. sei es drum

@dodolin... hast recht gehabt ... sowas hält wirklich nicht lange... und bei 450 - 650 Mb/Tag Traffic fallen 10, 20 MB mehr, einfach nicht auf