Hi, ich bin eben über seltsame Einträge im access_log des httpd gestolpert: 1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht: pc52974:~ # rpm -qa|grep -i apache apache2-mod-apparmor-2.0-21.2 apache2-doc-2.2.3-16.48.1 apache2-mod_php5-5.2.14-0.42.1 perl-Apache-Session-1.80-13.4 apache2-2.2.3-16.48.1 apache2-mod_tidy-0.5.5-13.4 apache2-prefork-2.2.3-16.48.1 apache2-devel-2.2.3-16.48.1 apache2-mod_perl-2.0.2-14.2 apache2-mod_fcgid-1.07-14 apache2-example-pages-2.2.3-16.48.1 Somit dürfte das doch in diesem Fall nicht kritisch sein, oder ? Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ? Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen. Kann ich was gegen diese Zugriffe tun ? Außerdem habe ich noch dieses: 222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET-Request absetze, kriege ich verschiedene Antworten: Wenn ich den Request ohne Protokollversion absetze (GET http://www.google.com/), bekomme ich sofort die index.php von unserer Webpräsenz. Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein: GET http://www.google.com/ HTTP/1.0 HTTP/1.1 400 Bad Request Date: Wed, 04 Jun 2014 15:45:06 GMT Server: Apache Content-Length: 290 Connection: close Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html> Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ??? Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ? Thanks for any hints. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik Gebäude 35.34 - Raum 208 HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 2294 http://www.helmholtz-muenchen.de/idg Die Freiheit wird nicht durch weniger Freiheit verteidigt Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd schrieb:
Hi,
ich bin eben über seltsame Einträge im access_log des httpd gestolpert:
1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht:
pc52974:~ # rpm -qa|grep -i apache
apache2-mod-apparmor-2.0-21.2 apache2-doc-2.2.3-16.48.1 apache2-mod_php5-5.2.14-0.42.1 perl-Apache-Session-1.80-13.4 apache2-2.2.3-16.48.1 apache2-mod_tidy-0.5.5-13.4 apache2-prefork-2.2.3-16.48.1 apache2-devel-2.2.3-16.48.1 apache2-mod_perl-2.0.2-14.2 apache2-mod_fcgid-1.07-14 apache2-example-pages-2.2.3-16.48.1
Somit dürfte das doch in diesem Fall nicht kritisch sein, oder ? Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ? Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen. Kann ich was gegen diese Zugriffe tun ?
Außerdem habe ich noch dieses:
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET- Request absetze, kriege ich verschiedene Antworten: Wenn ich den Request ohne Protokollversion absetze (GET http://www.google.com/), bekomme ich sofort die index.php von unserer Webpräsenz. Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:
GET http://www.google.com/ HTTP/1.0 HTTP/1.1 400 Bad Request Date: Wed, 04 Jun 2014 15:45:06 GMT Server: Apache Content-Length: 290 Connection: close Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ???
Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ?
Hi, folgende Seite ist in diesem Zusammenhang hilfreich: http://wiki.apache.org/httpd/ProxyAbuse Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi, folgende Seite ist in diesem Zusammenhang sehr hilfreich: http://wiki.apache.org/httpd/ProxyAbuse Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671
Am Wed, 4 Jun 2014 18:45:07 +0200 schrieb "Lentes, Bernd"
ich bin eben über seltsame Einträge im access_log des httpd gestolpert:
1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
Nicht gut, status code 200 heißt laut http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html , der "Gast" hat erfolgreich über Dein System auf einen fremden Server zugegriffen (gehe mal davon aus, dass mx3.mail2000 nicht bei Dir steht ;) Bei mir schlagen auch solche Requests auf... Connection attempts using mod_proxy: 1.163.222.253 -> mx0.mail2000.com.tw:25: 1 Time(s) 111.241.26.219 -> mx2.mail2000.com.tw:25: 1 Time(s) ...aber die werden dann abgelehnt... 405 Method Not Allowed mx0.mail2000.com.tw:25: 1 Time(s) mx2.mail2000.com.tw:25: 1 Time(s) Beides aus dem täglichen logwatch-Report.
Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht:
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200 belegt.
pc52974:~ # rpm -qa|grep -i apache
Das betrifft das Apache-Modul mod_proxy samt "Submodulen" und das ist m.W. kein extra rpm-Paket. Kontrollier mal Deine Apache-config auf das Laden von mod_proxy. Kenne die Apache-Systematik bei Suse nicht, also stimmen vielleicht die Pfade nicht, aber im Kern muss es ein Verzeichnis mit den vorhandenen Modulen geben. Bei RHEL sind die z.B. per ll /usr/lib*/httpd/modules/*proxy* zu finden. Alternativ "apache2" statt "httpd", "modules" heisst anders, etc.. Theoretisch könnten die Module auch statisch einkompiliert in den Apache2 sein, aber ist eigentlich unüblich. Die Liste der Module wird aber m.W. beim Start des Webservers geloggt. Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy-Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so verwendet. Und dann muss da noch eine Konfiguration existieren. Am besten, Du greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass, ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy control block namens "Proxy" geben.
Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ? Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen. Kann ich was gegen diese Zugriffe tun ?
Apache kann ähnlich wie squid als Webproxy alias "forward proxy" eingesetzt werden. Typischer ist allerdings die Anwendung als reverse proxy. Um unerwünschtes proxying zu verhindern, kannst Du z.B. eine Proxy - directive mit einer ACL einrichten. http://httpd.apache.org/docs/2.2/mod/mod_proxy.html Man kann natürlich auch das Laden der proxy-module verhindern, aber dann funktionieren auch etwaige reverse-proxies für lokale Applikationsserver nicht mehr.
Außerdem habe ich noch dieses:
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen "Proxy" möglich ist, dann natürlich erst recht der Zugriff auf http-Server.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:
GET http://www.google.com/ HTTP/1.0
Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem Leerzeichen und "HTTP/1.0" besteht.
HTTP/1.1 400 Bad Request
Ganz offenbar wurde HTTP/1.1 verwendet. Status code 400 ist eine Client Fehler - "malformed request" auf neudeutsch. Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
<p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ???
Hm, kontrollier das besser nochmal en detail. Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist, dass ihn bereits der als Proxy arbeitende Apache ablehnt. Die formale Kontrolle der requests auf application level ist ja einer der zentralen Gründe für den Einsatz als ALG. Warum er das dann im Namen von www.google.com tut, entzieht sich meinem Vorstellungsvermögen. -- Gruß, Tobias. no email, only xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Tobias, hallo Bernd, hallo Leute, Am Donnerstag, 5. Juni 2014 schrieb Tobias Crefeld:
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy-Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so verwendet.
Bei openSUSE stehen die Module in /etc/sysconfig/apache2 - APACHE_MODULES=... Daraus wird dann beim Starten von Apache (evtl. nicht bei einem reload) eine Configdatei in /etc/apache2/sysconfig.d/ generiert - Änderungen in diesen Dateien sind sinnlos, weil sie beim nächsten Apache-Start wieder überschrieben werden. Gruß Christian Boltz -- Ich war da - check. Das Kino auch - check. Ich wollte eigentlich Batman schauen, aber es lief nur "Schwarz und geräuschlos" von den Machern von "Unsere Server sind abgestürzt" und "bis die wieder laufen dauert es noch ein paar Stunden". Die Welt ist am Ende, Kinos stürzen ab. [Oliver Sch@d] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Christian schrieb:
Hallo Tobias, hallo Bernd, hallo Leute,
Am Donnerstag, 5. Juni 2014 schrieb Tobias Crefeld:
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy-Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so verwendet.
Bei openSUSE stehen die Module in /etc/sysconfig/apache2 - APACHE_MODULES=...
APACHE_MODULES="authz_host actions alias auth_basic authz_groupfile authn_file authz_user autoindex cgi dir include info log_config mime negotiation setenvif status userdir asis imagemap php5 perl authz_default mod_tidy mod_fcgid"
Daraus wird dann beim Starten von Apache (evtl. nicht bei einem reload) eine Configdatei in /etc/apache2/sysconfig.d/ generiert - Änderungen in diesen Dateien sind sinnlos, weil sie beim nächsten Apache-Start wieder überschrieben werden.
Gruß
Christian Boltz --
Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Tobias schrieb:
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200 belegt.
Glaub ich nicht: pc52974:~ # httpd2 -M Loaded Modules: core_module (static) mpm_prefork_module (static) http_module (static) so_module (static) authz_host_module (shared) actions_module (shared) alias_module (shared) auth_basic_module (shared) authz_groupfile_module (shared) authn_file_module (shared) authz_user_module (shared) autoindex_module (shared) cgi_module (shared) dir_module (shared) include_module (shared) info_module (shared) log_config_module (shared) mime_module (shared) negotiation_module (shared) setenvif_module (shared) status_module (shared) userdir_module (shared) asis_module (shared) imagemap_module (shared) php5_module (shared) perl_module (shared) authz_default_module (shared) tidy_module (shared) fcgid_module (shared) Syntax OK Kein proxy-Modul geladen
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy- Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so verwendet.
Und dann muss da noch eine Konfiguration existieren. Am besten, Du greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass, ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy control block namens "Proxy" geben.
pc52974:/etc/apache2 # grep -ir proxy *|less pc52974:/etc/apache2 # nix da.
Außerdem habe ich noch dieses:
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen "Proxy" möglich ist, dann natürlich erst recht der Zugriff auf http-Server.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:
GET http://www.google.com/ HTTP/1.0
Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem Leerzeichen und "HTTP/1.0" besteht.
HTTP/1.1 400 Bad Request
Ganz offenbar wurde HTTP/1.1 verwendet. Status code 400 ist eine Client Fehler - "malformed request" auf neudeutsch. Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
<p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ???
Hm, kontrollier das besser nochmal en detail. Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist, dass ihn bereits der als Proxy arbeitende Apache ablehnt. Die formale Kontrolle der requests auf application level ist ja einer der zentralen Gründe für den Einsatz als ALG. Warum er das dann im Namen von www.google.com tut, entzieht sich meinem Vorstellungsvermögen.
Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
Am 05.06.2014 15:47, schrieb Lentes, Bernd:
Tobias schrieb:
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200 belegt.
Glaub ich nicht:
pc52974:~ # httpd2 -M Loaded Modules: core_module (static) mpm_prefork_module (static) http_module (static) so_module (static) authz_host_module (shared) actions_module (shared) alias_module (shared) auth_basic_module (shared) authz_groupfile_module (shared) authn_file_module (shared) authz_user_module (shared) autoindex_module (shared) cgi_module (shared) dir_module (shared) include_module (shared) info_module (shared) log_config_module (shared) mime_module (shared) negotiation_module (shared) setenvif_module (shared) status_module (shared) userdir_module (shared) asis_module (shared) imagemap_module (shared) php5_module (shared) perl_module (shared) authz_default_module (shared) tidy_module (shared) fcgid_module (shared) Syntax OK
Kein proxy-Modul geladen
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy- Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so verwendet.
Und dann muss da noch eine Konfiguration existieren. Am besten, Du greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass, ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy control block namens "Proxy" geben. pc52974:/etc/apache2 # grep -ir proxy *|less pc52974:/etc/apache2 #
nix da.
Außerdem habe ich noch dieses:
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen "Proxy" möglich ist, dann natürlich erst recht der Zugriff auf http-Server.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:
GET http://www.google.com/ HTTP/1.0 Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem Leerzeichen und "HTTP/1.0" besteht.
HTTP/1.1 400 Bad Request Ganz offenbar wurde HTTP/1.1 verwendet. Status code 400 ist eine Client Fehler - "malformed request" auf neudeutsch. Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
<p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ??? Hm, kontrollier das besser nochmal en detail. Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist, dass ihn bereits der als Proxy arbeitende Apache ablehnt. Die formale Kontrolle der requests auf application level ist ja einer der zentralen Gründe für den Einsatz als ALG. Warum er das dann im Namen von www.google.com tut, entzieht sich meinem Vorstellungsvermögen.
Hmm laut dem Wikieintrag handelt es sich wohl um ein PHP Phänomen. Da Du ja sagtest ihr benötigt kein mod_proxy etc. würd ich einfach ein fail2ban jail bauen und alles was ein CONNECT probiert bis zum Sanktnimmerleinstag in einer Drop Chain schmoren lassen. Dann schläfts sich schon etwas besser ;)
Bernd
lg max
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz�
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 5 Jun 2014 15:47:04 +0200 schrieb "Lentes, Bernd"
Tobias schrieb:
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200 belegt.
Glaub ich nicht:
Vielleicht nicht mod_proxy, aber anders sind die Log-Einträge kaum zu interpretieren.
pc52974:~ # httpd2 -M Loaded Modules: core_module (static) mpm_prefork_module (static) http_module (static) [..]
Ich gehe jetzt einfach davon aus, dass auf der Kiste kein zweiter Apache läuft - das habe ich auch schon erlebt - , also müsste die proxy-Funktion woanders herkommen. Nächste Verdächtige wären angesichts Deiner Modul-Liste PHP und perl bzw. eine darauf basierende Applikation. Wenn die damit laufenden Web-Apps nicht gerade einen kapitalen Fehler aufweisen, dann liegt Deine Vermutung (hacked) nahe. Wobei ich nicht alle der gelisteten Module kenne und einschätzen kann. BTW: Zum Testen könntest Du in einem Browser Deinen Server als Proxy eintragen. -- Gruß, Tobias. no email, only xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Christian Boltz
-
Lentes, Bernd
-
Markus Heinze
-
Tobias Crefeld