Zur Navigation

Zugriff über Port 25 [2]

11 Jörg Kruse

Das nicht, deine IP würde aber vielleicht in dem Access-Log desjenigen Servers stehen, der zum Spammen missbraucht wurde. Du wärst dann in der Reihe der Opfer quasi das drittletzte Opfer.

05.05.2006 20:33

12 Mario

wäre vielleicht besser, diese Typen mittels


RewriteCond %{HTTP_USER_AGENT} \:25 [OR]

auszuschliessen ? Die kommen alle mit beispielsweise folgendem UA daher:
168.95.5.120:25

ich habe sonst keine anderen Besucher gefunden, die in der UA :25 tragen.

Mario


[Edit von Jörg: verschoben aus diesem Thread]

19.05.2006 23:35 | geändert: 19.05.2006 23:42

13 Jörg Kruse

Handelt es sich bei "168.95.5.120:25" wirklich um den User Agent? Das würde nicht viel Sinn machen. An welcher Stelle ist der Ausdruck denn im Logfile aufgeführt?

20.05.2006 00:04

14 Mario

Hallo Jörg

gestern kam einer mehrmals mit der UA-Kennung 168.95.5.120:25 aber gleichzeitig mit der HTTP-Clientanfrage 168.95.5.120:25 . Frühere Anfragen zeigen die 168.95.5.120:25 als Client ohne UA und ohne Referer. Beide Fliegen auf einen Schlag hätte ich dann wohl eher mit:

RewriteCond %{REMOTE_PORT} ^25$
RewriteRule ^.*$ - [F]

Was spricht dagegen?

Mario

20.05.2006 07:06

15 Jörg Kruse

Hallo Mario,

so wie die Zugriffe geloggt werden, handelt es sich um das Feld REQUEST_URI. Probier es mal so:

RewriteCond %{REQUEST_URI}  \:25$
RewriteRule ^.*$ - [F]

Ob man die Zugriffe dadurch wirklich erfassen kann, weiß ich nicht, das müsstest du einfach mal austesten

20.05.2006 08:29

16 Mario

danke Jörg... werde ich mal versuchen.


Wo liegt der Unterschied zwischen:

RewriteCond %{REQUEST_URI} \:25$
RewriteRule ^.*$ - [F]

und

RewriteCond %{REMOTE_PORT} ^25$
RewriteRule ^.*$ - [F]





Mario

20.05.2006 08:36

17 Jörg Kruse

REMOTE_PORT bezeichnet den Port des Client, aber in den Aufrufen in Post 1 dieses Threads z.B. waren an den IP-Adressen des Clients (REMOTE_ADDR, erster Eintrag im Logfile) kein Port angehängt. Die Ports fanden sich im Logfile an der Stelle, an der der REQUEST_URI angegeben ist (normalerweise eine Datei, die verlangt wird - bei einem Proxy aber wohl ein neuer HTTP-Request, gegenenfalls mit Proxy-Angabe)

20.05.2006 09:06 | geändert: 20.05.2006 09:07

18 Mario

ja die Portnummer hängt an der verlangten Datei, wobei diese immer eine externe IP ist. Ich habe

RewriteCond %{REQUEST_URI} \:25$
RewriteRule ^.*$ - [F]

in die .htaccess aufgenommen und werde mal überwachen was da weiter passiert.

Irgendwie habe ich Deinen Link von damals übersehen. Dort steht ja auch, dass der Server offenbar bei solchen Anfragen automatisch die index ausliefern kann. Die Antworten meines Servers auf die beschriebenen POST und CONNECT Anfragen sind immer nur sporadisch und werden von meinem Server jedesmal mit der Ausgabe der index-Datei beantwortet.

Beispiel:

172.184.3.177 [29/Apr/2006:00:16:20 POST http://172.184.3.177:25/ HTTP/1.1 200 9234 - -

222.122.63.49 [03/May/2006:23:23:43 CONNECT 66.218.86.254:25 HTTP/1.0 200 9362 - -

222.122.63.49 [19/May/2006:03:34:45 CONNECT 67.28.113.73:25 HTTP/1.0 200 9362 - 67.28.113.73:25

Ich glaube, dass dieser Bericht genau meine Fragestellung umschreibt und auch beantwortet. So wie Du mir das schon geschrieben hast. Trotzdem sperre ich via .htaccess die REQUEST_URI 25 aus und überwache was passiert. Was mich etwas stutzig macht, sind die z.T. wiederkehrenden IPs von denen aus die Anfragen kommen.


Mario

20.05.2006 10:48

19 Mario

so einer der Kerle ist wieder aufgetaucht und bekam als Dank wieder die index-Seite geliefert. Der Schutz funktioniert also noch nicht.

Logfile-Zeile:
220.137.78.224 [22/May/2006:04:25:11 CONNECT 168.95.5.207:25 HTTP/1.0 200 8320 - -

trotz .htaccess Sperrung mit:

RewriteCond %{REQUEST_URI} \:25$
RewriteRule ^.*$ - [F]

aber daran ist doch sicher das $ schuld, oder nicht?



Mario

23.05.2006 07:29

20 Jörg Kruse

Probier's vielleicht nochmal mit der Überprüfung von THE_REQUEST:

RewriteCond %{THE_REQUEST}  :25\ HTTP/1\.[0-1]$
RewriteRule ^.*$ - [F]

Ansonsten ist eine derartige Anfrage bei deaktiviertem mod_proxy für den Apache vielleicht auch schon erledigt, bevor er in die .htaccess schaut

23.05.2006 20:07 | geändert: 23.05.2006 20:08