Hi, ich bin eben über seltsame Einträge im access_log des httpd gestolpert: 1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" 61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-" Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht: pc52974:~ # rpm -qa|grep -i apache apache2-mod-apparmor-2.0-21.2 apache2-doc-2.2.3-16.48.1 apache2-mod_php5-5.2.14-0.42.1 perl-Apache-Session-1.80-13.4 apache2-2.2.3-16.48.1 apache2-mod_tidy-0.5.5-13.4 apache2-prefork-2.2.3-16.48.1 apache2-devel-2.2.3-16.48.1 apache2-mod_perl-2.0.2-14.2 apache2-mod_fcgid-1.07-14 apache2-example-pages-2.2.3-16.48.1 Somit dürfte das doch in diesem Fall nicht kritisch sein, oder ? Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ? Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen. Kann ich was gegen diese Zugriffe tun ? Außerdem habe ich noch dieses: 222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-" 49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" 113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-" Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET-Request absetze, kriege ich verschiedene Antworten: Wenn ich den Request ohne Protokollversion absetze (GET http://www.google.com/), bekomme ich sofort die index.php von unserer Webpräsenz. Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein: GET http://www.google.com/ HTTP/1.0 HTTP/1.1 400 Bad Request Date: Wed, 04 Jun 2014 15:45:06 GMT Server: Apache Content-Length: 290 Connection: close Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> </p> <hr> <address>Apache Server at www.google.com Port 80</address> </body></html> Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ??? Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ? Thanks for any hints. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik Gebäude 35.34 - Raum 208 HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 2294 http://www.helmholtz-muenchen.de/idg Die Freiheit wird nicht durch weniger Freiheit verteidigt Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org