Mailinglist Archive: opensuse-es (717 mails)
| < Previous | Next > |
RE: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad
- From: "Sharek" <sharek@xxxxxxxxxxxx>
- Date: Fri, 20 Jun 2003 22:49:44 +0200
- Message-id: <000101c3376d$7ae35e70$0200a8c0@render>
deshablitando el modulo del proxy, concretamente:
# LoadModule proxy_module /usr/lib/apache/libproxy.so
# AddModule mod_proxy.c
encuentro GARRAFAL que dejen una config por defecto TAN vulnerable
#<IfModule mod_proxy.c>
# ProxyRequests On <== GARRAFAAAAAL
# <Directory proxy:*>
# Order deny,allow
# Deny from all <== esto si no recuerdo mal lo modifique yo (si no es
el caso, es que encima hay un bug)
# Allow from .your-domain.com
# </Directory>
# ProxyVia On <== igual de bestia
# CacheRoot "/var/cache/httpd"
# CacheSize 5
# CacheGcInterval 4
# CacheMaxExpire 24
# CacheLastModifiedFactor 0.1
# CacheDefaultExpire 1
# NoCache a-domain.com another-domain.edu joes.garage-sale.com
#</IfModule>
es totalmente correcto y OBLIGATORIO por parte del usuario/administrador
configurar correctamente los programas instalados, pero tb encuentro
horrendo que pongan una config por defecto con las puertas abiertas de par
en par...
Suerte!
-----Mensaje original-----
De: Dionisio Ruiz de Zarate [mailto:dionisio@xxxxxxxxxxxxx]
Enviado el: viernes, 20 de junio de 2003 22:19
Para: Sharek; suse-linux-s@xxxxxxxx
Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE
problema de seguridad
como configuraste el apache para queno te pasa eso? que cambio le hiciste a
la conf por defecto?
muchas gracias por tu aviso y ayuda.
----- Original Message -----
From: "Sharek" <sharek@xxxxxxxxxxxx>
To: <suse-linux-s@xxxxxxxx>
Sent: Friday, June 20, 2003 5:51 PM
Subject: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE
problema de seguridad
Buenas, escribo esto sin demasiado conocimiento de causa, ya que ahun estoy
evaluando los daños al sistema...
Vereis
yo tengo un suse 8.2
con el apache 1.3x y postfix
colocados y configurados
el postfix tiene las politicas de seguridad correctas y con drac
un trocito de un log del apache:
64.70.45.167 - - [19/Jun/2003:20:32:38 +0200] "CONNECT 64.12.136.89:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:32:57 +0200] "CONNECT 65.54.166.230:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:33:54 +0200] "CONNECT 202.54.1.73:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:34:50 +0200] "CONNECT 65.54.253.230:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:35:48 +0200] "CONNECT 65.54.166.230:25
HTTP/1.0" 403 198
(si lo se pone 403... lo he configurado correctamente)
por defecto Apache viene con el modulo proxy activado (lo que permite el
connect)
el problema viene con una con una cadena como esta "CONNECT 127.0.0.1:25
HTTP/1.0"
accede a nuestro servidor de correo (CON RELAY)
a todos los que usen apache... si habeis dejado la config por defecto o no
habeis hecho mucho caso a los modules, VIGILAD
me enteré pq recibia miles de peticiones ICMP de mis servidores DNS, me
llevo horas detectar que provocaba eso
El spammer se despachó agusto, contacto con unos cuantos amigos suyos y
todos haciendome peticiones CONNECT
Posiblemente solo era un ataque para provocar un DoS, pero por si las
moscas, vigilad bien vuestras configuraciones a mi me conllevó horas de
panico cerca de 3mb de logs y un lag de 30 segundos (sin contar las
molestias a mi DNS server y a saber a quien mas)
solucioné el problema configurando bien el servidor y baneando al elemento
desde el router (ya que hacerlo por soft en el apache me seguia llenando los
logs de basura)
Suerte! y vigilad vuestros logs en plan paranoico
PD: me lo pasé teta y aprendí un montón :)
--
Para dar de baja la suscripción, mande un mensaje a:
suse-linux-s-unsubscribe@xxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
suse-linux-s-help@xxxxxxxx
--
Para dar de baja la suscripción, mande un mensaje a:
suse-linux-s-unsubscribe@xxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
suse-linux-s-help@xxxxxxxx
# LoadModule proxy_module /usr/lib/apache/libproxy.so
# AddModule mod_proxy.c
encuentro GARRAFAL que dejen una config por defecto TAN vulnerable
#<IfModule mod_proxy.c>
# ProxyRequests On <== GARRAFAAAAAL
# <Directory proxy:*>
# Order deny,allow
# Deny from all <== esto si no recuerdo mal lo modifique yo (si no es
el caso, es que encima hay un bug)
# Allow from .your-domain.com
# </Directory>
# ProxyVia On <== igual de bestia
# CacheRoot "/var/cache/httpd"
# CacheSize 5
# CacheGcInterval 4
# CacheMaxExpire 24
# CacheLastModifiedFactor 0.1
# CacheDefaultExpire 1
# NoCache a-domain.com another-domain.edu joes.garage-sale.com
#</IfModule>
es totalmente correcto y OBLIGATORIO por parte del usuario/administrador
configurar correctamente los programas instalados, pero tb encuentro
horrendo que pongan una config por defecto con las puertas abiertas de par
en par...
Suerte!
-----Mensaje original-----
De: Dionisio Ruiz de Zarate [mailto:dionisio@xxxxxxxxxxxxx]
Enviado el: viernes, 20 de junio de 2003 22:19
Para: Sharek; suse-linux-s@xxxxxxxx
Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE
problema de seguridad
como configuraste el apache para queno te pasa eso? que cambio le hiciste a
la conf por defecto?
muchas gracias por tu aviso y ayuda.
----- Original Message -----
From: "Sharek" <sharek@xxxxxxxxxxxx>
To: <suse-linux-s@xxxxxxxx>
Sent: Friday, June 20, 2003 5:51 PM
Subject: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE
problema de seguridad
Buenas, escribo esto sin demasiado conocimiento de causa, ya que ahun estoy
evaluando los daños al sistema...
Vereis
yo tengo un suse 8.2
con el apache 1.3x y postfix
colocados y configurados
el postfix tiene las politicas de seguridad correctas y con drac
un trocito de un log del apache:
64.70.45.167 - - [19/Jun/2003:20:32:38 +0200] "CONNECT 64.12.136.89:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:32:57 +0200] "CONNECT 65.54.166.230:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:33:54 +0200] "CONNECT 202.54.1.73:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:34:50 +0200] "CONNECT 65.54.253.230:25
HTTP/1.0" 403 198
64.70.45.167 - - [19/Jun/2003:20:35:48 +0200] "CONNECT 65.54.166.230:25
HTTP/1.0" 403 198
(si lo se pone 403... lo he configurado correctamente)
por defecto Apache viene con el modulo proxy activado (lo que permite el
connect)
el problema viene con una con una cadena como esta "CONNECT 127.0.0.1:25
HTTP/1.0"
accede a nuestro servidor de correo (CON RELAY)
a todos los que usen apache... si habeis dejado la config por defecto o no
habeis hecho mucho caso a los modules, VIGILAD
me enteré pq recibia miles de peticiones ICMP de mis servidores DNS, me
llevo horas detectar que provocaba eso
El spammer se despachó agusto, contacto con unos cuantos amigos suyos y
todos haciendome peticiones CONNECT
Posiblemente solo era un ataque para provocar un DoS, pero por si las
moscas, vigilad bien vuestras configuraciones a mi me conllevó horas de
panico cerca de 3mb de logs y un lag de 30 segundos (sin contar las
molestias a mi DNS server y a saber a quien mas)
solucioné el problema configurando bien el servidor y baneando al elemento
desde el router (ya que hacerlo por soft en el apache me seguia llenando los
logs de basura)
Suerte! y vigilad vuestros logs en plan paranoico
PD: me lo pasé teta y aprendí un montón :)
--
Para dar de baja la suscripción, mande un mensaje a:
suse-linux-s-unsubscribe@xxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
suse-linux-s-help@xxxxxxxx
--
Para dar de baja la suscripción, mande un mensaje a:
suse-linux-s-unsubscribe@xxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
suse-linux-s-help@xxxxxxxx
| < Previous | Next > |