Zugriff über Port 25

Seite 12 3

1 Mario

habe folgende logfile-Einträge:

172.184.3.177 [29/Apr/2006:00:16:20 POST http://172.184.3.177:25/ HTTP/1.1 200 9234 - -
172.184.3.177 [30/Apr/2006:00:16:22 QUIT 200 9371 - -

222.122.63.49 [03/May/2006:23:23:43 CONNECT 66.218.86.254:25 HTTP/1.0 200 9362 - -
222.122.63.49 [03/May/2006:23:23:44 CONNECT 4.79.181.15:25 HTTP/1.0 200 9362 - -
222.122.63.49 [03/May/2006:23:23:45 CONNECT 67.28.113.73:25 HTTP/1.0 200 9362 - -

Was Gutes kann das ja nicht sein :(

kann ich Port25 via .htaccess im Webspace sperren? oder gibt es da Bedenken?

RewriteCond %{REMOTE_PORT} ^25$
RewriteRule ^.*$ - [F]

2 Jörg Kruse

Da versucht wohl jemand Spam über deinen Webserver zu versenden. Die Verbindungsversuche laufen wohl ins Leere, solange mod_proxy nicht aktiviert ist (was die Standardeinstellung ist im Apache). Mit deiner RewriteRule würdest du zusätzlich dafür sorgen, dass bei solchen Aufrufen keine Webseite mehr ausgeliefert wird (spart 9kb pro Aufruf). Andere HTTP-Clients sollten eigentlich nicht über Port 25 kommunizieren?

3 Mario

1) also könnte ich bedenkenlos mit: RewriteCond %{REMOTE_PORT} ^25$
sperren?

2) da kam noch ein weiterer Zugriff :
222.122.63.49 [04/May/2006:22:54:27 \x04\x01 200 9362 - -

was offenbar das Gleiche bewirkt wie die anderen obig genannten Zeilen?

4 Jörg Kruse

Mir fällt grad auf, dass du mit REMOTE_PORT möglicherweise gar nicht die oben aufgeführten Aufrufe erfasst - der Port ist ja an der IP angehängt, die der Client über deinen Server als Proxy abrufen möchte, nicht an seiner eigenen IP. Der Client selbst hat keinen Port angegeben:

222.122.63.49

222.122.63.49 [04/May/2006:22:54:27 \x04\x01 200 9362 - -

was offenbar das Gleiche bewirkt wie die anderen obig genannten Zeilen?

Es wird bei diesen Aufrufen irgendeine Standardseite augegeben, die 9362 Byte groß ist - vielleicht die Startseite?

5 Mario

ja es ist die Startseite, aber was da genau vor sich geht ist mir schleierhaft, vorallem aber was der Koreaner für eine Absicht hat? Offenbar versucht er via SMTP-Port 25 auf den Server zu kommen. Dieser aber gibt ihm immer die Startseite aus. Hast Du eine andere Idee, was man mit denen macht? Ich möchte eigentlich nur sicher sein, dass da nichts anbrennen kann.

6 Jörg Kruse

Der Angreifer sucht nach Lücken, aber die hat er wahrscheinlich nicht gefunden.

Zum Verhalten des Apache habe ich folgendes gefunden:

Zitat von http://www.derkeiler.com/Newsgroups/comp.os.linux.security/2003-03/0039.html

Apache is sending back index.html from your
server [...]. Since CONNECT
didn't appear until HTTP/1.1, sending back the result of the
equivalent GET is an unusual but legal response from Apache. HTTP/1.1
CONNECT attempts will appear in your logs as having been correctly
denied (with appropriate 400-class errors).

Anonsten solltest du, um sicherzugehen, dass dein Server nicht als Proxy missbraucht wird, überprüfen (lassen), dass mod_proxy deaktiviert ist

7 Mario

Hallo Jörg

weisst Du zufällig:

1) in welcher Datei kann ich mod_proxy aktivieren resp. deaktivieren? edit: gefunden: http://httpd.apache.org/docs/1.3/mod/mod_proxy.html

2) wie kann ich feststellen, ob Mails relayed werden oder wurden?

3) wie würde sich ein Missbrauch im Logfile manifestieren? Doch sicher nicht nur mit der Lieferung der Startseite?

8 Mario

zu 1) das Modul mod_proxy ist nicht aktiv, das kann ich in Webmin sehen

9 Jörg Kruse

zu 1) das Modul mod_proxy ist nicht aktiv, das kann ich in Webmin sehen

Dann kann der Server auf diese Weise nicht als Proxy missbraucht werden.

2) wie kann ich feststellen, ob Mails relayed werden oder wurden?

Hast du Zugriff auf ein Mail-Log des Servers? darin solltest du sehen können, was vom Server verschickt wurde. Die CONNECT-Methode zielt allerdings eher darauf ab, den Server "nur" als Durchreiche zum eigentlichen Mail-Versender zu missbrauchen, und dabei wird der übermittelte Inhalt wohl nicht protokolliert

3) wie würde sich ein Missbrauch im Logfile manifestieren? Doch sicher nicht nur mit der Lieferung der Startseite?

Wie ein erfolgreicher Zugriff über CONNECT protokolliert wird, weiß ich leider nicht

10 Mario

danke Jörg, ich werde mal weiter beobachten und mir gelegentlich die Mail-Log auf Webmin suchen. Die sollte eigentlich vorhanden sein.

Was hat der Spammer denn für einen Vorteil, wenn er erfolgreich wäre? Würde dem Emailempfänger meine IP mitgeliefert und der Traffic mir zugeschanzt?

Seite 12 3

nach oben weiter >

Verwandte Themen
Thema	Autor	Forum	Beiträge	Letzter Beitrag
AbuseIPDB	Jan	Traffic-Analyse	7	06.03.2023 17:01
neue gruppen in htgroups erzeugt und Access geht nicht mehr	Andreas Müller	Webserver und .htaccess	13	11.03.2022 21:34
HTTP Trace Methode deaktivieren	Lena567	Sicherheit	4	03.05.2021 13:50
Weiterleitung von daten htaccess	Jörg Kruse	Webserver und .htaccess	21	22.11.2020 14:19
Htaccess prodziert "Internal Server Error" Fehler	Tricktrommler	Webserver und .htaccess	10	04.05.2020 16:59
Zugriff auf Unterverzeichnis	scherpa747	Webserver und .htaccess	4	31.07.2017 14:11
Portal mit Login und Chat	Tilman	PHP und MySQL	64	16.10.2008 15:39

Zugriff über Port 25

Verwandte Themen