Hallo,
hoffentlich ist das das richtige Forum ....
beim durchforsten meiner Logs ist mir folgendes aufgefallen. Alle 5 Minuten so ein Eintrag unter /var/log/apache2/confixx/stdlog_access
msa.hinet.net :: 220.132.60.98 - - [03/Oct/2006:15:36:27 +0200] "CONNECT msa.hinet.net:25 HTTP/1.0" 200 1040 "-" "-"
Also irgendie stellt sich für mich die Frage was kann das sein (Mail Port 25 ?), wie stell ich das ab?
und vor allem ich find in sämtlichen anderen Logs nichts verdächtiges.
gruß cirox
System:
Debian
Confixx 3.2.1
Apache2
Logeintrag in stdlog_access
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Logeintrag in stdlog_access
mod_proxy deaktivieren oder richtig konfigurieren. Aber eher die erste Variante.cirox wrote:Also irgendie stellt sich für mich die Frage was kann das sein (Mail Port 25 ?), wie stell ich das ab?
Re: Logeintrag in stdlog_access
hm:
läuft kein mod_proxy, ist aber einmal mit suphp konfiguriert für confixx und fast-cgi mit php4 und php5 für die vhosts.
Mal folgendes:
Irgendwie versucht ja da jemand Spam? über meinen Server zu senden über http? Kommt aber nicht durch? - jedenfalls steht nichts in mail.log, falls da überhaupt Einträge geloggt werden, die über apache2 ausgeführt werden.
Von einem anderen Server habe ich mich mal connected:
Warum bekomm ich kein?:
HTTP/1.1 405 Method Not Allowed
Also irgendwie bin ich dem Übeltäter ja auf der Spur, aber komme nicht weiter. Jedesmal wenn der obige "Logeintrag" kommt mit dem ".....::25 HTTP/1.0" 200 1040 "-" "-"" wird bei mir eine ".php" Seite laut Log aufgerufen. In diesem Fall gehts nach /confixx/gesperrt, also in das html Verzeichniss und suphp springt auch an.
Und warum eigentlich ausgerechnet /confixx/gesperrt ?
PS: EDIT 5 h später : weil /confixx das Document Root von Apache2 ist und die domain nicht auf dem server gehostet ist, folglich gehts nach ../gesperrt
Das sieht dann im suphp.log so aus:
Was kann man machen, da ja mod_proxy anscheinend nicht aktiviert ist. Oder ist es so, dass nur die Logs zugemüllt werden, der Spammer einfach nicht durchkommt und ich per iptables oder mod_security oder auch mit einem einfachen:
in der apache2.conf arbeiten muss?
gruß cirox
Code: Select all
apache2 -l
Compiled in modules:
core.c
mod_access.c
mod_auth.c
mod_log_config.c
mod_logio.c
mod_env.c
mod_setenvif.c
worker.c
http_core.c
mod_mime.c
mod_status.c
mod_autoindex.c
mod_negotiation.c
mod_dir.c
mod_alias.c
mod_so.c
Code: Select all
a2dismod
Which module would you like to disable?
Your choices are: actions cgid fastcgi include mod_python perl rewrite ssl suexec suphp userdir
Mal folgendes:
Irgendwie versucht ja da jemand Spam? über meinen Server zu senden über http? Kommt aber nicht durch? - jedenfalls steht nichts in mail.log, falls da überhaupt Einträge geloggt werden, die über apache2 ausgeführt werden.
Von einem anderen Server habe ich mich mal connected:
Code: Select all
CONNECT xxx.xxxxxxxxx.de:25 HTTP/1.0
Connected to xxx.xxxxxxx.de.
Escape character is '^]'.
CONNECT xxx.xxxxxxxxx.de:25 HTTP/1.0
jetzt folgendes:
HTTP/1.1 400 Bad Request
Date: Wed, 04 Oct 2006 13:45:06 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) mod_fastcgi/2.4.2 mod_python/3.1.3 Python/2.3.5 mod_ssl/2.0.54 OpenSSL/0.9.7e mod_perl/1.999.21 Perl/v5.8.4
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
Connection closed by foreign host.
HTTP/1.1 405 Method Not Allowed
Also irgendwie bin ich dem Übeltäter ja auf der Spur, aber komme nicht weiter. Jedesmal wenn der obige "Logeintrag" kommt mit dem ".....::25 HTTP/1.0" 200 1040 "-" "-"" wird bei mir eine ".php" Seite laut Log aufgerufen. In diesem Fall gehts nach /confixx/gesperrt, also in das html Verzeichniss und suphp springt auch an.
Und warum eigentlich ausgerechnet /confixx/gesperrt ?
PS: EDIT 5 h später : weil /confixx das Document Root von Apache2 ist und die domain nicht auf dem server gehostet ist, folglich gehts nach ../gesperrt
Das sieht dann im suphp.log so aus:
Code: Select all
[Wed Oct 04 16:47:36 2006] [info] Executing "/var/www/confixx/html/gesperrt/index.php" as UID 641, GID 500
Code: Select all
<Location "">
Deny from 220.132.60.98
</Location>
gruß cirox
Last edited by cirox on 2006-10-05 01:16, edited 2 times in total.
Re: Logeintrag in stdlog_access
Hallo,
ich habe erstmal mit iptables die IP gesperrt und nach Stunden die Auflösung gefunden und entsprechende Regel gesetzt in der apache2.conf siehe Bug:
PHP Bug auch ohne mod_proxy loaded
http://bugs.php.net/bug.php?id=19113
allerdings hab ich mod_php gar nicht enabled bei mir, sondern benutze suphp, also als cgi, jedenfalls für confixx, das verstehe ich schon wieder nichtm ich denke der bug bezieht sich auf mod_php anno .... :?: - also mit meinem selbstkompilierten php 4.4.4 + 5.1.6 mit fast cgi auch auf dem Server passiert der Schwachfug nicht ...
vielleicht auch ganz interessant:
Spam per HTTP (?) - wie Server absichern
http://listi.jpberlin.de/pipermail/post ... 11084.html
1. Wurde tatsächlich Spam über meinen Server versendet?
2. Das mit dem Absichern ist mir noch nicht so klar. Ok log beobachten, IP s sperren, und laut der Bugbeschreibung, siehe oben, den Eintrag vornehmen in der apache.conf ( jetzt gibts wenigstens keinen gültigen http request mehr über "telnet" und dann über "connect"
ich habe erstmal mit iptables die IP gesperrt und nach Stunden die Auflösung gefunden und entsprechende Regel gesetzt in der apache2.conf siehe Bug:
PHP Bug auch ohne mod_proxy loaded
http://bugs.php.net/bug.php?id=19113
allerdings hab ich mod_php gar nicht enabled bei mir, sondern benutze suphp, also als cgi, jedenfalls für confixx, das verstehe ich schon wieder nichtm ich denke der bug bezieht sich auf mod_php anno .... :?: - also mit meinem selbstkompilierten php 4.4.4 + 5.1.6 mit fast cgi auch auf dem Server passiert der Schwachfug nicht ...
vielleicht auch ganz interessant:
Spam per HTTP (?) - wie Server absichern
http://listi.jpberlin.de/pipermail/post ... 11084.html
Die grosse Frage ist jetzt aber sicherlich:da ist man seit Monaten glücklich, dass sein Postfix mit smtp-auth
läuft und läuft - bis man plötzlich feststellt, dass man plötzlich
recht viele Logfile-Einträge der Art (siehe unten) in einem http access
Logfile findet.
Erster Gedanke - Spam - die Frage ist nun, wie absichern bzw. senden
die wirklich? Denn das access_log füllt sich sekündlich, aber im
maillog ist davon nichts zu merken.
1. Wurde tatsächlich Spam über meinen Server versendet?
2. Das mit dem Absichern ist mir noch nicht so klar. Ok log beobachten, IP s sperren, und laut der Bugbeschreibung, siehe oben, den Eintrag vornehmen in der apache.conf ( jetzt gibts wenigstens keinen gültigen http request mehr über "telnet" und dann über "connect"