Kandu.dk - udnyttelse af server ()


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

udnyttelse af server ()
Fra : Osten

Dato : 26-04-04 09:18

Hej,
Jeg har set i vores webserverlog at der må være nogle som
(mis)bruger/udnytter vores webserver. Se udsnit af access_log længere nede.
Maskinen bruges til beregninger og webserveren er mest til for at lette
adgang til information til den.

Mit spørgsmål går på hvad jeg kan gøre for at stoppe dem som bruger
maskinen? Jeg kan ikke rigtig se at der kører nogle processer som ikke
skulle køre.Og hvad kan jeg konstatere ud fra access-loggen?
Jeg er ret blank på dette område (sikkerhed).
Maskinen sidder bag en firewall, hvor der er lukket for det meste. Der er
åbent for port 80, ssh m.fl.
Det er linux og apache.

Mvh Jan

Et udsnit af /var/log/httpd/access_log:
80.130.235.169 - - [26/Apr/2004:08:06:51 +0000] "HEAD
http://www.transpantyhose.com/members/ HTTP/1.0" 401 0
69.3.219.31 - - [26/Apr/2004:08:06:51 +0000] "GET
http://61.194.9.54/u/758894/0_145s HTTP/1.0" 200 3055
83.26.17.20 - - [26/Apr/2004:08:06:52 +0000] "GET
http://www.violett.com/members/ HTTP/1.0" 401 394
172.190.9.212 - - [26/Apr/2004:08:06:52 +0000] "GET
http://l31.login.scd.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.
src=jpg&.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpage
r.yahoo.com/jpager/pager2.shtml&login=scorpionbyte_&passwd=asdfgh HTTP/1.0"
999 1195
202.158.50.6 - - [26/Apr/2004:08:06:52 +0000] "HEAD
http://www.wildrose.net/members/carolcox/index.shtml HTTP/1.0" 401 0
194.88.45.81 - - [26/Apr/2004:08:06:52 +0000] "GET
http://2crfm.musicradio.com/ticker_94DBB118-C0FA-4F0E-8C4C-FA8D20EB6D0B.txt?
rnd=1265 HTTP/1.0" 200 70
195.184.114.199 - - [26/Apr/2004:08:06:53 +0000] "POST
http://www.iberia.com/OneToOne/gateway_es.jsp HTTP/1.0" 200 58395
212.235.41.106 - - [26/Apr/2004:08:06:53 +0000] "CONNECT login.icq.com:443
HTTP/1.0" 200 -
69.3.219.31 - - [26/Apr/2004:08:06:53 +0000] "GET
http://0bbs.jp/img/back/4.gif HTTP/1.0" 200 21985
81.215.33.223 - - [26/Apr/2004:08:06:53 +0000] "CONNECT login.icq.com:443
HTTP/1.0" 200 -

Kasper Dupont (26-04-2004)

Kommentar
Fra : Kasper Dupont

Dato : 26-04-04 18:30

Osten wrote:
>
> Det er linux og apache.

Hvilken apache version?

Det ligner nogle meget almindelige forsøg på misbrug,
men der er så vidt jeg kan se ikke nogen indikationer
af, at det er lykkedes at misbruge webserveren.

Hvis det skulle være lykkedes at misbruge serveren som
proxy ville det ikke give udslag i nogen usædvanlige
processer, højst et par ekstra instanser af httpd.

Der er altså heller ikke noget sikkert bevis for, at
din server ikke kan bevises. Prøv evt. selv at taste
nogen af requestene ind vha. telnet, og se hvad
serveren faktisk svarer.

> 69.3.219.31 - - [26/Apr/2004:08:06:51 +0000] "GET
> http://61.194.9.54/u/758894/0_145s HTTP/1.0" 200 3055
> 83.26.17.20 - - [26/Apr/2004:08:06:52 +0000] "GET
> http://www.violett.com/members/ HTTP/1.0" 401 394

Her er en eller anden inkonsistens. Jeg kan ikke få
øje på årsagen til, at den ene af de to requests
bliver accepteret og den anden bliver afvist. Måske
skyldes det indholdet af nogle headers, som ikke er
blevet logget. Jeg ville umiddelbart have forestillet
mig, at de begge ville give din webservers forside.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

Simon Lyngshede (26-04-2004)

Kommentar
Fra : Simon Lyngshede

Dato : 26-04-04 18:32

On Mon, 26 Apr 2004 10:17:48 +0200, Osten wrote:
> Mit spørgsmål går på hvad jeg kan gøre for at stoppe dem som bruger
> maskinen? Jeg kan ikke rigtig se at der kører nogle processer som ikke
> skulle køre.Og hvad kan jeg konstatere ud fra access-loggen? Jeg er ret
> blank på dette område (sikkerhed). Maskinen sidder bag en firewall, hvor
> der er lukket for det meste. Der er åbent for port 80, ssh m.fl.
> Det er linux og apache.
>

Med min erfaring med Apache, ser det rigtigt nok ud som om nogen benytter
din maskine som proxy. Man kunne jo spørge hvor gammel den Apache er og
hvilke moduler du har installeret. Evt. kunne de jo hjælpe at disable
moduler der ikke bliver brugt, måske mod_proxy, givet at det er
installeret. Hvis din Apache er af ældre dato, ville de måske være en
ide lige at løbe over Apaches security announcements og prøve
at opgradere. Det bør nok være det første du gør, det er ikke unormalt
at Apache bliver misbrugt som proxy.

Et alternativ er at nægte box at åbne forbindelser ud af til. Simpelthen
lave en firewall regel der blokkere for alt udgående trafik er ikke
relatere sig til en TCP forbindelse der er allerede er oprettet. Jeg er
ikke sikker på at det vil virke, fordi jeg ved ikke lige helt hvordan der
er Apache opretter forbindelser når den bruges som proxy.

Jeg ved ikke om det hjælper, men det er da et par forslag.

--
Simon

Kasper Dupont (26-04-2004)

Kommentar
Fra : Kasper Dupont

Dato : 26-04-04 18:39

Simon Lyngshede wrote:
>
> Med min erfaring med Apache, ser det rigtigt nok ud som om nogen benytter
> din maskine som proxy.

Hvorfor tror du det?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

Simon Lyngshede (26-04-2004)

Kommentar
Fra : Simon Lyngshede

Dato : 26-04-04 18:54

On Mon, 26 Apr 2004 19:39:11 +0200, Kasper Dupont wrote:

> Simon Lyngshede wrote:
>>
>> Med min erfaring med Apache, ser det rigtigt nok ud som om nogen
>> benytter din maskine som proxy.
>
> Hvorfor tror du det?

Det tror jeg fordi hans Apache bliver bedt om at hente data på en anden
webserver, med mindre alle de URIs der står i udsnittet fra hans log
høre hjemme på hans server. Desuden virker de alle til at være porno
sites, hvilket leder mig til at tro at nogle mennesker måske prøver at
gemme hvem de er eller hvor de kommer, det er naturligvis ren spekulation
fra min side, men det virker ikke urealistisk.

Min pointe er, hvor ofte har Apache brug for at hente data
fra en anden webserver, hvis ikke det er fordi den lege proxy? Burde GET
ikke være efterfuldt af en lokal fil?

--
Simon

Jesper Dybdal (26-04-2004)

Kommentar
Fra : Jesper Dybdal

Dato : 26-04-04 19:07

Simon Lyngshede <simon@SPAMspiceweasel.dk> wrote:

>On Mon, 26 Apr 2004 19:39:11 +0200, Kasper Dupont wrote:
>
>> Simon Lyngshede wrote:
>>>
>>> Med min erfaring med Apache, ser det rigtigt nok ud som om nogen
>>> benytter din maskine som proxy.
>>
>> Hvorfor tror du det?
>
>Det tror jeg fordi hans Apache bliver bedt om at hente data på en anden
>webserver, med mindre alle de URIs der står i udsnittet fra hans log
>høre hjemme på hans server.

Ikke alene bliver den bedt om det, den gør det tilsyneladende også
(nogle af dem har status 200 = ok).

>Min pointe er, hvor ofte har Apache brug for at hente data
>fra en anden webserver, hvis ikke det er fordi den lege proxy? Burde GET
>ikke være efterfuldt af en lokal fil?

Jo. Min webserver var på et tidspunkt kommet på en eller anden liste
over åbne proxier selvom den aldrig har været en proxy (den gav en
default-side med status 200 for alle disse "GET http://..."-requests,
og det er sikkert den status 200 der er blevet misforstået).

Der blev ved med at komme mange sådanne forespørgsler om dagen uanset
hvad jeg satte den til at sende retur: jeg prøvede en stor
iøjnefaldende webside der opfordrede læseren til anonymt at fortælle
mig hvor han havde fundet min ip-adresse (ingen gjorde det), og
ændrede det derefter til at give en fejlstatus.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Kasper Dupont (26-04-2004)

Kommentar
Fra : Kasper Dupont

Dato : 26-04-04 19:12

Simon Lyngshede wrote:
>
> On Mon, 26 Apr 2004 19:39:11 +0200, Kasper Dupont wrote:
>
> > Simon Lyngshede wrote:
> >>
> >> Med min erfaring med Apache, ser det rigtigt nok ud som om nogen
> >> benytter din maskine som proxy.
> >
> > Hvorfor tror du det?
>
> Det tror jeg fordi hans Apache bliver bedt om at hente data på en anden
> webserver, med mindre alle de URIs der står i udsnittet fra hans log
> høre hjemme på hans server.

Ja, serveren bliver bedt om det. Men hvorfor tror du, at
den faktisk gør det? Jeg tror den afleverer en lokal fil
og ignorerer hostnavnet.

> Desuden virker de alle til at være porno
> sites, hvilket leder mig til at tro at nogle mennesker måske prøver at
> gemme hvem de er eller hvor de kommer, det er naturligvis ren spekulation
> fra min side, men det virker ikke urealistisk.

Jeg ved ikke, hvad formålet er. Mine disse log linier er
ikke usædvanlige.

>
> Min pointe er, hvor ofte har Apache brug for at hente data
> fra en anden webserver, hvis ikke det er fordi den lege proxy? Burde GET
> ikke være efterfuldt af en lokal fil?

Ja, det har du ret i. En webserver har sjældent brug for
at fungere som HTTP klient. Så at spære for det i sin
firewall vil da som regel være en god idé. Men man skal
selvfølgelig stadig sætte serveren rigtigt op.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408522
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste