Was ist das denn ?? Hat hier jemand auf dem Server ebay ...

[tanami]

Hallo habe gerade die Mail von SRV Report bekommen. Darin tauchte auf einmal ebay.com auf in der vhost liste ? HAt jemand eine idee wor der Eintrag herkommt ?

das ist der entsprechnde auszug der acces log:

Code: Select all

p15186905:/var/log/apache2 # more access_log |grep 67.28.113.11
218.17.203.143 - - [10/Jul/2005:12:32:58 +0200] "CONNECT [color=red]67.28.113.11:25 [/color]HTTP/1.1" 301 314 "-" "-"
p15186905:/var/log/apache2 # more access_log |grep [color=red]www.ebay.com[/color]
218.17.203.143 - - [10/Jul/2005:12:32:59 +0200] "GET http://www.ebay.com/ HTTP/1.1" 301 314 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"

Die markierte IP ist eine von Yahoo Blackmail wie darf ich das jetzt verstehen ? Hat hier jemand ebay.com auf dem Server aufgrerufen ?

Gruss Joerg

[dodolin]

Jemand hat dir einen kostenlosen kleinen Security Audit spendiert, mehr nicht. ;)

[tanami]

Jemand hat dir einen kostenlosen kleinen Security Audit spendiert, mehr nicht. ;)

WAs meinst Du damit ?

[dodolin]

Ein Spammer hat geschaut, ob du einen offenen Proxy hast. Nichts wirklich ungewoehnliches, wenn man einen oeffentlichen Server betreibt.

[tanami]

hm, was kann man dagegen machen ? Spezielle Ports blocken ? Und wie kann man herausfinden welche Ports eventuell zu blocken sind, sorry für die Fragen ist für Dich wahrscheinlich slebstverständlich ?

Gruss Joerg

[Roger Wilco]

hm, was kann man dagegen machen ?

Gegen die Versuche selbst? Nichts.
Dagegen, dass die Versuche erfolgreich sind? Kein mod_proxy einbinden, wenn es nicht gebraucht wird. Wenn es gebraucht wird, richtig konfigurieren.

[tanami]

ok aber so wie es assieht läuft kein proxy :

grep proxy /etc/apache2 zeigt zumindestens nichts an ?

[wgot]

Hallo,

ok aber so wie es assieht läuft kein proxy

nein, es läuft keiner. Deshalb gab Dein Server eine 314 Byte große Fehlermeldung zurück. Mit Proxy hätte er die ca. 60kByte große Startseite von ebay.com zurückgegeben. Das wollte der Angreifer wissen.

Warum er es wissen wollte steht im oberen Logeintrag: er wollte über die 67.28.xxx.xxx spammen und über (d)einen Proxy seine IP dabei verstecken.

Gruß, Wolfgang

[captaincrunch]

grep proxy /etc/apache2 zeigt zumindestens nichts an ?

Was auch allzu verständlich ist, da du auf ein Directory greppst ohne Rekusrsion anzuwenden.

[tanami]

Was auch allzu verständlich ist, da du auf ein Directory greppst ohne Rekusrsion anzuwenden.

schon klar war ja nur ein beispiel aber es werden kein mod proxy oder ähliche in bzw. über die httpd.conf geladen.

sagt Euch nessus was ?

[bungeebug]

sagt Euch nessus was ?

Kommt drauf an, ob man damit umgehen kann oder nicht.

[tanami]

ja habs gemerkt ist nicht sooo einfach wie es aussieht ...

[lord_pinhead]

Es gibt schlimmeres ;) Aber sicher das du dich auf ein standard Audit Tool verlassen willst? Ich weiß net ob das so eine gute Idee ist :)

[tanami]

Es gibt schlimmeres Aber sicher das du dich auf ein standard Audit Tool verlassen willst? Ich weiß net ob das so eine gute Idee ist

Welche alternative gibt es ?

[lord_pinhead]

1) Selber machen
2) Machen lassen
3) Exploits suchen und testen, mit Metasploit arbeiten, Nessus nur mal für einen oberflächlichen Test machen.

Fertige Audit Tools bringen meist nur einen Oberflächlichen Erfolg. Sicherheit ist ein fortschreitender Prozess und hat nichts mit Bequemlichkeit zu tun. Gut, Nessus ist nen gutes Tool um mal schnell Oberflächlich zu testen, aber richtig sicher kann man sich nur sein wenn man selbst die Exploits testet.

[captaincrunch]

Klar, da natürlich auch jeder 0-Days direkt frei Haus geliefert bekommt. ;)

[lord_pinhead]

Ich hab nie gesagt das es keine Arbeit ist und er nicht suchen muss ;)