Re: [Ayuda] logs raros en el apache

To: ceyusa en coral com mx
Subject: Re: [Ayuda] logs raros en el apache
From: Abel Hernandez Zanatta <ahernandez en aguascalientes gob mx>
Date: Wed, 26 Feb 2003 08:27:21 -0600
Cc: ayuda en linux org mx
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Organization: Isssspea
References: <20030225223812.A28527@coral.com.mx>
Sender: ayuda-admin en linux org mx
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.1) Gecko/20021003

De hecho me paso a mi, claro fue un poco diferente por que en mi casotrataban de usarlo como una forma de envio de spam con el puerto 25.Lo que significa es que alguien te quiere usar como puente para algunataque de algun tipo x, tal vez spam u otra cosa.Solo puedes ser vulnerable si tienes habilitado el modulo de proxy y nolo tienes bien configurado, pero si ni siquiera lo tienes habilitado nite preocupes....Creo que el apache lo saca en los logs con un 200 u OK por el metodo getque utilzan es del http 1.1 pero como no existe en 1.0 te lo regresa conun OK.Lo que hasta ahorita no se, es si haya alguna forma de evitar que tesalgan esos mensajes en los logs, pero pues al menos sabes con esto dedonde estan tratando de hacer los intentos.

La otra vez, por ahi alguien posteo la liga en el cert que habla un pocomas respecto a esta vulnerabilidad.





Víctor Manuel Jáquez Leal wrote:

Hola colisteros
Recuerdo que ya se había discutido en la lista sobre el tema, pero no recuerdocuales fueron las conclusiones.
Observamos un comportamiento anormal en un sitio web que administramos: mayortráfico repentino en un día del acostumbrado por varios meses.
En lapso entre las 15:29 y 16:55 hubo 1762 peticiones por parte del IP217.227.136.72, cuyo responsable es Deutsche Telekom AG, Internet serviceprovider.
Todas fueron registradas con un formato similar:

217.227.136.72 - - [24/Feb/2003:17:00:32 -0600] "GET / HTTP/1.0" 200 40444 "http://www.online-sports-betting-bonus.com/"; "Mozilla/4.0 (compatible; MSIE 4.5; Mac_PowerPC)"
Todas con una respuesta válida (200) y la misma cantidad de bytes devueltos(40444), pero el dominio de referencia varió en cada petición,aunque muchos deellos no tienen resolución. También el identificador del browser varió depetición en petición.
¿Qué significa esto?
¿Qué pretende?
¿Qué respuesta estará mandando el apache?
¿A alguien le ha pasado algo similar?

Si plantean la opción de que el Apache este fungiendo como proxy, no es así, ya
lo chequé.


------------------------------
Víctor Manuel Jáquez Leal
http://www.coral.com.mx/ceyusa
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/




--
Ing. Abel Hernandez Zanatta
Isssspea
Soporte Tecnico y Redes
01(449)910-2080 ext. 3835 01(449)910-2081 Cell 044 449 4486118

_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- Re: [Ayuda] logs raros en el apache
  - De: Gunnar Wolf

Referencias:
- [Ayuda] logs raros en el apache
  - De: Víctor Manuel Jáquez Leal

Previo por Fecha: Re: [Ayuda] clave administrator en XP (no linux)
Siguiente por Fecha: Re: [Ayuda] logs raros en el apache
Previo por Hilo: [Ayuda] logs raros en el apache
Siguiente por Hilo: Re: [Ayuda] logs raros en el apache

[Hilos de Discusión] [Fecha] [Tema] [Autor]