Zur Navigation

Zugriff über Port 25

1 Mario

habe folgende logfile-Einträge:

172.184.3.177 [29/Apr/2006:00:16:20 POST http://172.184.3.177:25/ HTTP/1.1 200 9234 - -
172.184.3.177 [30/Apr/2006:00:16:22 QUIT 200 9371 - -


222.122.63.49 [03/May/2006:23:23:43 CONNECT 66.218.86.254:25 HTTP/1.0 200 9362 - -
222.122.63.49 [03/May/2006:23:23:44 CONNECT 4.79.181.15:25 HTTP/1.0 200 9362 - -
222.122.63.49 [03/May/2006:23:23:45 CONNECT 67.28.113.73:25 HTTP/1.0 200 9362 - -

Was Gutes kann das ja nicht sein :(

kann ich Port25 via .htaccess im Webspace sperren? oder gibt es da Bedenken?

RewriteCond %{REMOTE_PORT} ^25$
RewriteRule ^.*$ - [F]

Mario

05.05.2006 09:13

2 Jörg

Da versucht wohl jemand Spam über deinen Webserver zu versenden. Die Verbindungsversuche laufen wohl ins Leere, solange mod_proxy nicht aktiviert ist (was die Standardeinstellung ist im Apache). Mit deiner RewriteRule würdest du zusätzlich dafür sorgen, dass bei solchen Aufrufen keine Webseite mehr ausgeliefert wird (spart 9kb pro Aufruf). Andere HTTP-Clients sollten eigentlich nicht über Port 25 kommunizieren?

05.05.2006 10:13 | geändert: 05.05.2006 10:14

3 Mario

1) also könnte ich bedenkenlos mit: RewriteCond %{REMOTE_PORT} ^25$
sperren?

2) da kam noch ein weiterer Zugriff :
222.122.63.49 [04/May/2006:22:54:27 \x04\x01 200 9362 - -

was offenbar das Gleiche bewirkt wie die anderen obig genannten Zeilen?






Mario

05.05.2006 10:21

4 Jörg

Mir fällt grad auf, dass du mit REMOTE_PORT möglicherweise gar nicht die oben aufgeführten Aufrufe erfasst - der Port ist ja an der IP angehängt, die der Client über deinen Server als Proxy abrufen möchte, nicht an seiner eigenen IP. Der Client selbst hat keinen Port angegeben:

222.122.63.49

222.122.63.49 [04/May/2006:22:54:27 \x04\x01 200 9362 - -

was offenbar das Gleiche bewirkt wie die anderen obig genannten Zeilen?

Es wird bei diesen Aufrufen irgendeine Standardseite augegeben, die 9362 Byte groß ist - vielleicht die Startseite?

05.05.2006 11:18

5 Mario

ja es ist die Startseite, aber was da genau vor sich geht ist mir schleierhaft, vorallem aber was der Koreaner für eine Absicht hat? Offenbar versucht er via SMTP-Port 25 auf den Server zu kommen. Dieser aber gibt ihm immer die Startseite aus. Hast Du eine andere Idee, was man mit denen macht? Ich möchte eigentlich nur sicher sein, dass da nichts anbrennen kann.

Mario

05.05.2006 12:29

6 Jörg

Der Angreifer sucht nach Lücken, aber die hat er wahrscheinlich nicht gefunden.

Zum Verhalten des Apache habe ich folgendes gefunden:

Zitat von http://www.derkeiler.com/Newsgroups/comp.os.linux.security/2003-03/0039.html
Apache is sending back index.html from your
server [...]. Since CONNECT
didn't appear until HTTP/1.1, sending back the result of the
equivalent GET is an unusual but legal response from Apache. HTTP/1.1
CONNECT attempts will appear in your logs as having been correctly
denied (with appropriate 400-class errors).

Anonsten solltest du, um sicherzugehen, dass dein Server nicht als Proxy missbraucht wird, überprüfen (lassen), dass mod_proxy deaktiviert ist

05.05.2006 13:28 | geändert: 05.05.2006 13:32

7 Mario

Hallo Jörg

weisst Du zufällig:

1) in welcher Datei kann ich mod_proxy aktivieren resp. deaktivieren? edit: gefunden: http://httpd.apache.org/docs/1.3/mod/mod_proxy.html

2) wie kann ich feststellen, ob Mails relayed werden oder wurden?

3) wie würde sich ein Missbrauch im Logfile manifestieren? Doch sicher nicht nur mit der Lieferung der Startseite?

Mario

05.05.2006 15:56 | geändert: 05.05.2006 15:58

8 Mario

zu 1) das Modul mod_proxy ist nicht aktiv, das kann ich in Webmin sehen

Mario

05.05.2006 16:23

9 Jörg

zu 1) das Modul mod_proxy ist nicht aktiv, das kann ich in Webmin sehen

Dann kann der Server auf diese Weise nicht als Proxy missbraucht werden.

2) wie kann ich feststellen, ob Mails relayed werden oder wurden?

Hast du Zugriff auf ein Mail-Log des Servers? darin solltest du sehen können, was vom Server verschickt wurde. Die CONNECT-Methode zielt allerdings eher darauf ab, den Server "nur" als Durchreiche zum eigentlichen Mail-Versender zu missbrauchen, und dabei wird der übermittelte Inhalt wohl nicht protokolliert

3) wie würde sich ein Missbrauch im Logfile manifestieren? Doch sicher nicht nur mit der Lieferung der Startseite?

Wie ein erfolgreicher Zugriff über CONNECT protokolliert wird, weiß ich leider nicht

05.05.2006 20:08

10 Mario

danke Jörg, ich werde mal weiter beobachten und mir gelegentlich die Mail-Log auf Webmin suchen. Die sollte eigentlich vorhanden sein.

Was hat der Spammer denn für einen Vorteil, wenn er erfolgreich wäre? Würde dem Emailempfänger meine IP mitgeliefert und der Traffic mir zugeschanzt?

Mario

05.05.2006 20:20