PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : mystische sachen im apache log



meinereinerseiner
21.02.05, 10:47
moin,

mal eine frage....hab folgendes in meinem apache log gefunden:

203.98.164.141 - - [21/Feb/2005:09:32:34 +0100] "CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0" 200 1209
203.98.164.141 - - [21/Feb/2005:09:32:34 +0100] "CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0" 200 1209 "-" "-"

sieht irgendwie seltsam aus, oder?

ist das ein scan um ggf. mails über den apache webproxy mails zu versenden?


mfg
der tom

LKH
21.02.05, 11:47
Hi,

Frage: ist mod_proxy in Gebrauch? Wenn nicht, dann ist das falscher Alarm, ansonsten versucht jemand deinen Apache als Proxy für Mailversand (meist Spam) zu mißbrauchen.

Du kannst das mal testen mit telnet:

telnet 203.98.164.141 80
Trying 203.98.164.141
Connected to dein.server
Escape character is '^]'.

Jetzt eingeben:
CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0

und zweimal Enter drücken.

Was passiert?

LKH

meinereinerseiner
21.02.05, 12:49
Hi,

Frage: ist mod_proxy in Gebrauch? Wenn nicht, dann ist das falscher Alarm, ansonsten versucht jemand deinen Apache als Proxy für Mailversand (meist Spam) zu mißbrauchen.

Du kannst das mal testen mit telnet:

telnet 203.98.164.141 80
Trying 203.98.164.141
Connected to dein.server
Escape character is '^]'.

Jetzt eingeben:
CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0

und zweimal Enter drücken.

Was passiert?

LKH

mod_proxy ist nicht am rennen und beim telnet bringt er das:



<H1>Forbidden</H1>
You don't have permission to access /
on this server.<P>

...also fehlalarm, aber trotzdem gut zu wissen und mal wieder eine
logmeldung mehr verstanden.

thx
der tom

knorke
21.02.05, 19:28
203.98.164.141 - - [21/Feb/2005:09:32:34 +0100] "CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0" 200 1209
203.98.164.141 - - [21/Feb/2005:09:32:34 +0100] "CONNECT mail-fwd.mx.g19.rapidsite.net:25 HTTP/1.0" 200 1209 "-" "-"



Hmm, der Status Code 200 sagt aus, das die Verbindung zustande gekommen ist. Sicher das nicht doch mod_proxy läuft?

MfG,
Knorke

LKH
21.02.05, 19:46
Hi,

eigentlich sollte ein 405er kommen; aber das ist ein bekannter Bug.

LKH

LKH
21.02.05, 20:55
Was ich noch vergessen hatte:

hier gibt es ein Perlskript zum Testen auf offene Proxies zum Download:

http://www.unicom.com/sw/pxytest/

LKH